病毒名称:

　　Win32.Troj.QQmsgflash2

　　中文名称: 狩猎者

　　威胁级别: 3A

　　受影响系统:

　　Win9X

　　Win2000

　　Windows XP

　　Windows Server 2003

　　病毒类型: 木马

　　
该病毒会自动向QQ里的好友发带毒网址的消息，带毒网站中隐藏的恶意代码会利用IE的漏洞自动下载并执行病毒。即便是用户已经打过IE的漏洞补丁，病毒也会采用欺骗方式引诱用户下载。该木马还会窃取用户系统中的传奇游戏Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码，并通过局域网的共享目录传播。

　　
请立即升级金山毒霸病毒库到11月4日的版本，即可防止该病毒的危害。

　　
技术特征：

　　
1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网： http://flash2.533.net "

　　
2、当浏览带毒网站时，会利用IE漏洞，尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件 b.sys，如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中，文件名为"b.exe"，如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。(如下图）

　　


　　
3、复制文件:

　　A、复制病毒体到 %SystemRoot% 文件夹中，文件名为"Rundll32.exe"；

　　B、复制病毒体为 "C:\cmd.exe";

　　C、试图复制病毒体到共享目录中，名为"病毒专杀.exe"和"周杰伦演唱会.exe"。

　　
4、添加注册表启动项，以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

　　
5、修改和新增以下文件关联

　　 A、修改.exe文件的关联，每当执行exe文件时，即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下键值：默认="C;\cmd.exe %1 &*"

　　
B、新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下键值：默认="""%1"" %*"

　　
C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值：默认="""%1"" %*"

　　
6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。
7、在Win2000、WinXP、Win2003系统中，系统文件"Rundll32.exe"就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载.
[未结束]