国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种利用电子邮件或及时聊天工具进行传播的恶意木马程序Trojan_Qhost.CBG。该木马程序采用进程隐藏技术使其自身的文件运行后不显示，导致计算机用户很难发现其程序文件的存在。

    该木马程序运行后，会将其复制到受感染计算机系统的系统目录下，并重新命名为可执行文件，其文件属性设置为系统、隐藏和只读。与此同时，该木马会强行篡改计算机用户操作系统中的HOSTS文件，利用域名映像劫持技术阻止计算机用户访问互联网络中与安全相关的Web网站。该木马还会在受感染计算机系统的后台将恶意可执行代码注入到系统桌面浏览器IE程序进程内存的空间中，并调用执行，其中所注入的恶意代码的功能如下：

   1、以共享方式打开木马程序释放出来的可执行文件，防止计算机用户删除该木马程序的主程序文件。

   2、建立互斥量，利用进程守护技术原理，利用系统浏览器IE文件进程来保护木马程序的主程序进程不被关闭，即循环监视木马程序主程序进程是否被关闭，如果发现被关闭则重新调用运行。

   除此之外，该恶意木马程序还会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器，下载其他木马、病毒等恶意程序。


专家提醒：

    针对这种情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

    （一）针对已经感染该木马程序的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。

    （二）针对未感染该木马程序的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。
　

国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网    址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 
传　　真：022-66211155 
电子邮件：sos@antivirus-China.org.cn
         contact@antivirus-china.org.cn