黑色“DOS”频繁闪出　究竟是谁在作怪？_安全中国

“闪屏感染者414632”（Win32.viking.sb.414632），这是一个感染型病毒。病毒成功运行后，会感染除系统盘外的所有磁盘中的exe文件，并在文件尾部附近添加感染标记，被感染的文件体积会增大，并且图标都变成安装程序的图标。文件一旦被感染，就将无法正常运行。

“QQ盗号木马112755”（Win32.PSWTroj.QQThiefT.ty.112755），该病毒是一个QQ盗号木马。该病毒运行后会生成注册表启动项，注入QQ进程盗取密码，并把盗取的密码发送到木马种植者指定的邮箱当中。

一、 “闪屏感染者414632”（Win32.viking.sb.414632）威胁级别：★★

病毒在用户系统中成功运行起来后，会在系统盘的当前用户临时文件目录“%Documents and Settings%\用户名\Local Settings\Temp\”下生成病毒文件update.exe，并释放出另一个.exe格式的病毒文件，不过，由于病毒作者的失误，该文件是破损的，无法对用户构成威胁。

虽然少了帮手，但update.exe文件依然可对系统进行破坏。它会搜索除系统盘之外的所有磁盘分区，将它们里面的EXE可执行文件全部感染。被感染的文件，其图标会变成安装程序的图标。如果用户用专门的软件检查这些文件，会发现它们体积有所增大，且尾部附近增加“fs207316ip0m”字符。这是病毒作的感染标记，为的是帮助病毒避免重复感染，提高病毒搞破坏的效率。

当文件被感染后，如果用户试图运行它们，屏幕上就会有一个黑色的DOS窗口一闪而过，而被感染的文件则运行失败。

二、“QQ盗号木马112755”（Win32.PSWTroj.QQThiefT.ty.112755）威胁级别：★

病毒进入用户的电脑系统后，在系统盘的%Program Files%\Internet Explorer\PLUGINS\目录下释放出病毒文件Sy_Win7k.Jmp和Wn_Sys8x.Sys，并修改注册表，把自己的相关信息加入启动项，使自己可以在用户以后每次开机时跟着系统自动跑起来。

释放出的两个病毒文件各有分工。Wn_Sys8x.Sys的任务是使病毒能随系统一同启动，而Sy_Win7k.Jmp则负责在启动成功后，搜索QQ即时聊天软件的进程。如果发现，就立刻注入其中，通过读取内存的方式盗取用户的QQ账号信息。

如果能顺利得手，病毒就悄悄建立远程连接，将用户的QQ号和密码发送到木马种植者指定的邮箱中。一同被发送的还有被盗用户的Q币金额、QQ等级等相关信息。

木马种植者拿到用户的QQ账号后，可能会将其卖掉或洗光Q币，也有可能利用该QQ号去诈骗被盗用户的好友。因此，如发现QQ号被盗，用户应立即通知腾讯和QQ好友，尽可能挽回损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

黑色“DOS”频繁闪出 究竟是谁在作怪？

黑色“DOS”频繁闪出　究竟是谁在作怪？