动这两个程序的进程，该病毒使用双进程守护的功能，如果其中的一个进程被结束，那么另外一个进程就会执行关机命令，以躲避查杀。病毒会在每隔一段时间就在盘符里面写入文件svchost.exe和autorun.inf，达到双击盘符就运行病毒和使用移动硬盘传播病毒的目的。修改注册表键值，以达到开机自动启动的目的，最后会下载大量木马病毒到用户电脑执行，给用户电脑带来巨大的安全隐患。

　　反病毒专家建议电脑用户采取以下措施预防该病毒：1、安装瑞星全功能安全软件2009和卡卡上网安全助手,并及时升级，瑞星全功能安全软件2009每天至少升级三次;2、使用卡卡上网安全助手的“漏洞扫描与修复”，打好补丁，弥补系统漏洞;3、不浏览不良网站，不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星账保险柜3.0”中，可以有效保护密码安全;7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡6.0，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

　　如遇病毒，请拨打反病毒急救电话：010-82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn 或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。

　　

　　江民：

　　江民今日提醒您注意：在今天的病毒中Packed.PePatch.oq“尖峰洞”变种oq和TrojanDownloader.FraudLoad.eb“诈骗器”变种eb值得关注。

　　英文名称：Packed.PePatch.oq

　　中文名称：“尖峰洞”变种oq

　　病毒长度：39456字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：518d9653b480286aa8c093f1aed3abd4

　　特征描述：

　　Packed.PePatch.oq“尖峰洞”变种oq是“尖峰洞”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“尖峰洞”变种oq运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个经过加壳保护的恶意DLL组件。该组件会被插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在后台执行恶意操作，隐藏自我，防止被查杀。“尖峰洞”变种oq是一个专门盗取即时聊天工具“腾讯QQ”账号和密码的木马程序，会在被感染计算机的后台查找系统中正在运行的所有进程，一旦发现“QQ.exe”进程便会迫使“QQ”用户掉线，使得“QQ”重新打开登陆窗口。此时，“尖峰洞”变种oq会将一个伪造的密码输入框覆盖在真正的密码输入框之上，然后通过鼠标控制、消息钩子等技术，将用户在伪造的输入框中所输入的密码窃取，并在后台将窃得的信息发送到骇客指定的远程服务器站点“http://18289.q**r.net/szqq/qq.asp”(地址加密存放)上，给用户造成了不同程度的虚拟财产损失。同时，“尖峰洞”变种oq还会在被感染计算机系统的后台连接骇客指定的远程站点“http://tj.77**.org”，读取配置文件，下载其中所列出的恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临不同程度的风险。另外，“尖峰洞”变种oq会在注册表“ShellExecuteHooks”项下添加键值，以此实现木马的开机自动运行。

　　英文名称：TrojanDownloader.FraudLoad.eb

　　中文名称：“诈骗器”变种eb

　　病毒长度：29696字节

　　病毒类型：木马下载器

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：2411258ffe3c7688e4f424f57f1ddfa1

　　特征描述：

　　TrojanDownloader.FraudLoad.9 7 3 1 2 3 4 8 :

本文来源：华军资讯 作者：董先颖整理