特征描述：
Worm/Piloyd.b"無極殺手"變種b是"無極殺手"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫，經(jīng)過加殼保護(hù)處理。"無極殺手"變種b運行后，會替換系統(tǒng)文件"%SystemRoot%system32qmgr.dll"（BITS后臺智能傳輸服務(wù)所對應(yīng)的文件），以此實現(xiàn)開機(jī)自啟。同時通過批處理將自我復(fù)制為"%SystemRoot%system32dllcachelsasvc.dll"，然后原病毒程序會將自我刪除，從而消除痕跡。"無極殺手"變種b運行時，會試圖關(guān)閉大量安全軟件的相關(guān)進(jìn)程，并利用注冊表映像文件劫持干擾這些程序的正常啟動運行。如果其發(fā)現(xiàn)系統(tǒng)中運行著特定的安全軟件，便會釋放惡意驅(qū)動程序"%SystemRoot%system32driversLiTdi.sys"，用以結(jié)束安全軟件的自我保護(hù)。通過自帶的弱口令列表嘗試對網(wǎng)上鄰居進(jìn)行口令猜解，被成功猜解的系統(tǒng)將會被其感染。"無極殺手"變種b會在可移動存儲設(shè)備的根目錄下創(chuàng)建"recycle.{645ff040-5081-101b-9f08-00aa002f954e}ghost.exe"和"autorun.inf"，以此實現(xiàn)通過移動存儲設(shè)備進(jìn)行傳播的目的。感染計算機(jī)中存儲的"exe"、"htm"、"html"、"asp"、"aspx"和"rar"格式文件（在網(wǎng)頁格式文件中插入掛馬腳本"http://mm.aa8856*.cn/index/mm.js"），致使系統(tǒng)用戶面臨被多次感染的風(fēng)險。連接駭客指定的站點"http://bbnn7*.114central.com"，下載大量惡意程序并調(diào)用運行，從而給用戶造成更多的威脅。另外，其會訪問駭客指定的頁面"http://nbtj.114anhu*.com/msn/163.htm"，以此對被感染系統(tǒng)進(jìn)行統(tǒng)計。

英文名稱：Trojan/PSW.QQPass.xof
中文名稱："QQ大盜"變種xof
病毒長度：68608字節(jié)
病毒類型：盜號木馬
危險級別：★★
影響平臺：Win 9X/ME/NT/2000/XP/2003
MD5 校驗：188c0e8c68d4d8708f753e6a0b25253a

特征描述：
Trojan/PSW.QQPass.xof"QQ大盜"變種xof是"QQ大盜"家族中的最新成員之一，采用"Borland C++"編寫，經(jīng)過加殼保護(hù)處理。"QQ大盜"變種xof運行后，會在被感染系統(tǒng)的"%SystemRoot%system32"文件夾下釋放惡意DLL組件"*.dat"（文件名為隨機(jī)8個字母），同時會復(fù)制為"vnd.dll"。還會復(fù)制系統(tǒng)DLL文件"advapi32.dll"和"kernel32.dll"為"nfv.dll"和"zrh.dll"。"QQ大盜"變種xof會將惡意DLL文件插入到"explorer.exe"進(jìn)程中并安裝消息鉤子。連接駭客指定的頁面"http://s1d4.s*b6v5.com/f.asp"等進(jìn)行其它惡意程序的下載等，由此可能會給用戶造成更大的損失。另外，"QQ大盜"變種xof會在被感染系統(tǒng)注冊表啟動項的"ShellServiceObjectDelayLoad"鍵下添加鍵值"asi"，以此實現(xiàn)其釋放的惡意文件的開機(jī)自啟。

kuangmin