QQ尾巴广告器骗用户点击挂马网址

　5月15日:“漏洞脚本下载器6039”（VBS.Downloader.ab.6039），这是一个Microsoft Data Access Components (微软系统数据访问组件) 实现缺陷的漏洞利用脚本，如果顺利在系统中运行起来，就会从指定的地址下载木马程序执行。

　　“QQ尾巴广告器4096”（Win32.Troj.Agent.nc.4096），这是一个QQ尾巴病毒程序。该病毒运行时会每隔几分钟就搜索一次用户的QQ消息框，然后发送一些虚假消息给用户的在线好友，这些消息会诱骗用户点击已被挂马的网址，用户一旦访问就会中毒。

　　一、“漏洞脚本下载器6039”（VBS.Downloader.ab.6039） 威胁级别：★★

　　对于具有系统安全漏洞的电脑而言，即便安装有安全软件，也有可能被病毒攻破。就如同房子的墙壁破了个洞，你在门口拴再怎么凶猛的狗，贼也一样进得来。

　　本篇预警中的病毒就是一个利用系统安全漏洞实施破坏行为的恶意脚本。这个病毒体积非常小，可主要利用网页挂马和捆绑文件进行传播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现缺陷。当它发现电脑系统中存在该漏洞时，就可以利用该漏洞绕开系统安全模块，擅自调用IE浏览器的进程，连接病毒作者指定的地址http://www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic，下载多个伪装成.jpg格式图片文件的病毒，存放到系统盘根目录和系统临时文件夹中。

　　经毒霸反病毒工程师检查，下载的病毒主要是盗窃敏感数据的盗号木马，以及黑客后门，它们如果成功进入电脑并运行起来，将给用户造成更大的麻烦和带来无法估计的损失。

　　二、“QQ尾巴广告器4096”（Win32.Troj.Agent.nc.4096） 威胁级别：★

　　由于传播速度快、传播成本低、难以被追踪，利用QQ等即时聊天工具进行传播已经是不少病毒优先选择的传播途径。在毒霸反病毒工程师近日捕获到的病毒中，就又出现了QQ病毒的身影。

　　这个病毒实际上是个刷流量的木马，如果它成功进入系统，就会修改注册表中关于IE浏览器的数据，使得浏览器自动登录HTTP://WWW.****44.COM、http://www.****3344.com、http://www.****u-1.com等由病毒作者指定的网页，为这些网页“贡献”流量。

　　而为了实现最大规模的传播，它每隔几分钟就搜索用户是否启动了QQ进程，如果有，则在用户不知晓的情况下，读取用户的好友列表，向好友们发送含有挂马网页链接的消息，诱惑好友点击。如果点击进去，会发现就是以上的那几个网页，并且被病毒乘机传染好友的电脑。

　　这个病毒在运行完毕后会自我删除原始文件，干扰用户查杀。不过习惯手动杀毒的用户仍然可以通过病毒释放出的文件找到它。病毒文件主要有系统盘根目录下的d.exe、d1.exe，以及%Temporary Internet Files%/Content.IE5/2PF3QNZE/目录下的ddos1[1].htm、uniq[1].htm、ddos[1].htm。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。