1.22毒报:伪装对抗控制器远程控制

　　“伪装对抗控制器157229”（Win32.VirInstaller.Delf.nk.157229），这是一个远程控制程序。它把自己的文件伪装成XPSp3的进程，以此欺骗用户，躲避检查。该毒在建立远程连接前，会破坏系统的报警音模块，阻止系统发出异常警报，还会尝试关闭安全软件。

　　“QQ盗号者28783”（Win32.Troj.QQRobber.28783），这是一个盗号木马。它针对的是QQ即时聊天工具的帐号和密码。该毒是由一款比较老的QQ盗号木马改造而来，属于新变种。

　　一、“伪装对抗控制器157229”（Win32.VirInstaller.Delf.nk.157229）威胁级别：★★

　　将自己的文件伪装成系统文件，是一种比较低级的躲避查杀手段，这种办法对付杀毒软件基本是无效的，因为目前大多数杀软不是光凭名称来判断病毒。不过，如果是没安装杀软的用户，就和容易上当。

　　为了不让安全软件坏它的“好事”，该毒进入系统后立即搜索电脑中是否有安装主流的安全软件，尝试关闭它们的进程。并且该毒会删除系统%WINDOWS%SYSTEM32dllcache目录与WINDOWSSYSTEM32drivers目录下，用于控制电脑发出异常警报的模块Beep.sys。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-virinstaller-delf-nk-157229-53775.html

　　二、“QQ盗号者28783”（Win32.Troj.QQRobber.28783）威胁级别：★

　　病毒作者将旧病毒修改后重复使用，这已是很常见的事，通常情况下新的版本都会比旧版本更凶猛，但有时也会出现“一蟹不如一蟹”的情况。

　　此次发现拦截率突然上升的Win32.Troj.QQRobber.28783，经分析后判定为Win32.Troj.QQRobber.fb这一老盗号者的变种。虽然病毒行为依然是利用键盘记录和内存注入等办法盗窃QQ号，但它却没有旧版本那么强的对抗能力。在旧版本中，该毒会尝试删除安全软件的进程。

　　该毒的子文件会释放到%WINDOWS%SYSTEM32目录下，命名为NTdHcP.exe。毒霸反病毒工程师认为，该新变种可能是一些黑客新手用于练习的作品，因此才出现威力减弱的情况。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-qqrobber-28783-53776.html

　　金山反病毒工程师建议

　　1.最好安装专业的正版杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。