超级巡警收到网友举报，在使用QQ进行聊天的时候，在QQ群里会有网友发送“www.*****.cn/1601.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”这样的消息。如果下载运行后，会丢失QQ号并下载大量木马程序。超级巡警团队提醒广大网友不要随意下载QQ群里网友的发送链接，提高安全意识，保证计算机及个人信息的安全。

　　一、病毒相关分析：

　　病毒标签：

　　病毒名称：IM-Worm.Win32.QQ.gen

　　病毒别名：我的照片

　　病毒类型：蠕虫

　　危害级别：4

　　感染平台：Windows

　　病毒大小：32,948 字节(字节)

　　SHA1　：f3ad8389e4e53d1723174d32614bae19f063a5e8

　　加壳类型：UPX

　　开发工具：Borland Delphi 6.0 - 7.0

　　病毒行为：

　　1、执行文件后会在非系统盘生成

　　AutoRun.exe (32,948 bytes)和AutoRun.inf

　　2、释放文件

　　%ProgramFiles%Internet ExplorerPLUGINSSysWin7z.Jmp

　　%ProgramFiles%Internet ExplorerPLUGINSWinSys8z.Sys

　　其中WinSys8z.Sys监控发送到消息队列的消息

　　3、注册表修改

　　注册表键： HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

　　注册表值： {F81F75C9-F974-4772-B72D-F28CBCD98C5F}

　　类型: REG_SZ

　　注册表键： HKCRCLSID{F81F75C9-F974-4772-B72D-F28CBCD98C5F}InProcServer32

　　注册表值： （默认）

　　类型: REG_SZ

　　值： C:Program FilesInternet ExplorerPLUGINSWinSys8z.Sys

　　4、 post提交 www.418592177.cn/005/qqll.asp盗取QQ号

　　5、下载文件http://www.*****.com/12345.txt，内容如下：

　　http://www.*****/mh.exe

　　http://www.*****/my.exe

　　http://www.*****/wow.exe

　　http://www.*****/jh.exe

　　http://www.*****/wl.exe

　　http://www.*****/zt.exe

　　http://www.*****/qjsj.exe

　　http://www.*****/2.exe

　　http://www.*****/wmgj.exe

　　http://www.*****/4.exe

　　http://www.*****/tl.exe

　　http://www.*****/zx.exe

　　http://www.*****/1.exe

　　http://www.*****/5.exe

　　http://www.*****/3.exe

　　http://www.*****/wd.exe

　　http://www.*****/6.exe

　　http://www.*****/7.exe

　　http://www.*****/8.exe

　　http://www.*****/9.exe

　　http://www.*****/10.exe

　　二、解决方案

　　推荐方案：由于该程序会下载其他大量恶意程序，所以推荐安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病

　　毒库，并进行全盘扫描。

　　超级巡警下载地址：http://down.ddvip.com/view/11840626569367.html

　　三、安全建议

　　1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。

　　2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。

　　3、使用超级巡警的补丁检查功能，及时安装系统补丁。

　　4、禁用不必要的服务。

　　5、及时更新常用软件，尤其是聊天工具。

　　6、不要随便打开不明来历的电子邮件，尤其是邮件附件。

　　7、不要随意下载不安全网站的文件并运行。

　　8、下载和新拷贝的文件要首先进行查毒。

　　9、不要轻易打开即时通讯工具中发来的链接或可执行文件。

　　10、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。

　　15、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。

　　注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变

　　量指%Windir%System32。其它：

　　%SystemDrive% 系统安装的磁盘分区

　　%SystemRoot% = %Windir% WINDODWS系统目录

　　%ProgramFiles%　应用程序默认安装目录

　　%AppData% 应用程序数据目录

　　%CommonProgramFiles%　公用文件目录

　　%HomePath% 当前活动用户目录

　　%Temp% =%Tmp% 当前活动用户临时目录

　　%DriveLetter% 逻辑驱动器分区

　　%HomeDrive% 当前用户系统所在分区