统的后台连接骇客指定的远程服务器站点“http://txt.bm*740.com/”，获取恶意程序下载列表，下载其中指定的恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。同时，“佳美尼亚”变种t还可能会根据骇客的设置，修改“%SystemRoot%\system32\drivers\etc\hosts”文件，从而通过域名劫持的方式使得用户无法访问某些安全类站点以及无法进行安全软件的升级操作，从而进一步地提高了自身的生存几率。

　　英文名称：Trojan/QQPass.ckq

　　中文名称：“QQ大盗”变种ckq

　　病毒长度：77334字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：fbf5a305f2e33ef48371a2f84f835229

　　特征描述：

　　Trojan/QQPass.ckq“QQ大盗”变种ckq是“QQ大盗”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“QQ大盗”变种ckq运行后，会在被感染系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“qqmm.vxd”，另外还会删除“%SystemRoot%\system32\”目录下的系统文件“VerCLSID.exe”以及“QQ”安装目录下的“QQDoctor.exe”。“QQ大盗”变种ckq是一个专门盗取即时聊天工具“腾讯QQ”账号和密码的木马程序，运行后会首先查看自身是否已经被插入到“QQ.exe”或“explorer.exe”等进程之中。一旦插入成功，便会查找系统中可能存在的“QQ用户登录”窗口(也可能通过迫使用户掉线的方式强制“QQ”返回到登录窗口)。“QQ大盗”变种ckq会针对“QQ用户登录”窗口安装大量的消息钩子，同时会在真正的密码框之上放置一个高度仿真的密码输入框，使得用户在该仿冒的密码框中输入密码时不受“QQ”反窃密功能的保护，从而轻易地获取用户输入的账号和密码信息。“QQ大盗”变种ckq会在后台将窃取到的信息(包括计算机名、当前IP地址、计算机用户名、QQ账号、QQ密码等)发送到骇客指定的远程服务器站点(地址加密存放)，给用户造成了不同程度的虚拟财产损失。另外，“QQ大盗”变种ckq会通过修改注册表键“ShellExecuteHooks”的方式实现木马的开机自启。另外，“QQ大盗”变种ckq在安装完成后会将自我删除，以此消除痕迹。

　　针对以上病毒，江民反病毒中心建议广大电脑用户：

　　1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

　　3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。

　　4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。

　　5、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。

　　6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

　　7、江民杀毒软件新增强大的启发式扫描，能够启发扫描90%以上的未知病毒。

　　8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://pay.jiangmin.com/online/jiangmin/kvkillonline.9 7 3 1 2 3 4 4 8 :

本文来源：华军资讯 作者：苏熠渊整理