金山反病毒应急中心本周进行升级包的更新，请用户尽快到金山毒霸网站 duba.net 下载升级包，以下是几个重要病毒的简介：

　　

　　
本周重点关注病毒：

　　
恶意木马：“QQ大盗”变种（Troj.PSWQQPass.e） 危险级：2A , 传播：被欺骗安装

　　
　　又一恶意偷取QQ帐号和Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码的恶意木马。并将偷取到的密码直接发到安装者设置的地址。后续版本可能会有更多的功能，严重危害网络用户的隐私和安全。其主要特点如下：

　　1、自我制到硬盘中：

　　C:\Windows\Winhe1p.exe

　　C:\Program Files\Windows.exe

　　C:\Winnt\System\Command.exe

　　2、添加注册表启动项，以便能随机启动：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　"Winhelp"="C:\Windows\winhe1p.exe"

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　"Rundll32"="C:\Program Files\Windows.exe"

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　"COMMAND"="C:\Winnt\system\command.exe"

　　3、打开端口：12880、12881、12882和12888，发送偷取到的信息。如果这些端口不能被打开，木马将随机打开一个端口来发送。

　　


　　手工清除方法：

　　1、对于WIN9X系统，可以启动到纯DOS模式下，删除病毒所生成的所有复本文件。

　　C:\Windows\Winhe1p.exe

　　C:\Program Files\Windows.exe

　　C:\Winnt\System\Command.exe

　　2、对于WIN2000/WINXP系统，使用进程管理器搜索名字为“winhe1p、windows.exe、Command.exe”的进程，并立即结束它们，然后在WINDOWS安装目录和系统目录中彻底删除这些文件。（同上）

　　3、删除病毒在注册表中添加的启动项

　　（同上）

　　

　　
远程控制：“风雪”(Hack.Snowdoor) 危险级:2A，传播：被欺骗安装

　　
　　远程控制软件，将被攻击的计算机变成一个权限完全开放的服务器，将所有信息暴露给远程控制者，计算机的操作也会被远程控制者控制。其侵入系统后的特点：

　　1、自我拷贝到：

　　%Windir%\sk.exe

　　随机拷贝以下文件：

　　%System%\swon4.exe

　　%System%\swon6.exe

　　%System%\snow.exe

　　%System%\ipsnow.exe

　　%System%\plog.exe

　　%System%\iplog.exe　[未结束]