12.15毒报:伪装后门连接器后门控制－病毒快报

“伪装后门连接器27928”（Win32.NotVirus.Renos.kh.27928），这是一个后门控制程序。它具有一定程度的伪装能力，会把自己伪装成XP系统的升级程序和一款安全工具。

“QQ盗号器166522”（Win32.Troj.QQMsg.ui.166522），这是一个具有对抗能力的QQ盗号木马。它会尝试删除卡卡安全助手的相关文件，然后盗取QQ帐号和密码，部分变种拥有远程木马的功能。

一、“伪装后门连接器27928”（Win32.NotVirus.Renos.kh.27928）威胁级别：★

该毒释放出两个子文件，一个是%Windows%目录下的xpupdate.exe，一个是%ProgramFiles%\SpyShredder\目录下的SpyShredder.exe。前者看上去很像系统自身的升级程序进程，而后者则像是一款用于粉碎木马的安全软件，这都是病毒的欺骗手段。

当修改完注册表启动项，并于下一次开机时顺利运行后，该毒就在后台调用IE浏览器的进程，悄悄连接病毒作者指定的地址69.*****.175.180，与黑客服务器进行通讯，等待黑客入侵。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-notvirus-renos-kh-27928-52740.html

二、“QQ盗号器166522”（Win32.Troj.QQMsg.ui.166522）威胁级别：★

针对QQ聊天工具的盗号木马层出不穷，此毒是近来捕获的众多QQ盗号木马中变种较多的一款。

它具有一定程度的对抗功能，在进入系统后会立即搜索并删除%WINDOWS%\SYSTEM32\目录下的kakatool.dll，这是卡卡安全助手工具条的相关文件，该毒这样做是为了替自己的盗号模块扫清障碍。

病毒会在%WINDOWS%\SYSTEM32\目录下释放出子文件noruns.reg、winscok.dll，以及一个伪装成系统文件SVOHOST.exe的子文件。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-qqmsg-ui-166522-52736.html

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。