近几日，“QQ密探”连续发作，先后有A、B两个变种出现。该变种病毒采用了QQ病毒感染及运行的新方法，给广大的QQ用户带来了前所未有的安全隐患。金山公司在国内率先截获了该病毒，并且在短时间了完成了对该病毒的查杀升级。让我随着金山毒霸反病毒工程师的介绍，对该病毒两个变种做一次完全揭秘。

　　“QQ密探”变种A（ Win32.Troj.QQNark.a），于2004年5月24日发现，并于当日处理。威胁级别: 3C，病毒类型: 木马，影响系统：Windows 9x/Me/NT/2000/XP/2003。

　　该病毒通过监视QQ的接收消息来响应远程控制端的操作，病毒可以执行的操作包括：上传、下载、执行文件，共享硬盘，关闭、重启计算机，抓屏并发送E-mail，通过进程名或ID来终止进程的运行，关闭、卸载木马等。

　　“QQ密探”变种B（Win32.Troj.QQNark.b），于2004年5月24日发现，并于当日处理。

　　威胁级别: 3C，病毒类型: 木马。影响系统：Windows 9x/Me/NT/2000/XP/2003。

　　该病毒危害与变种A的破坏方式几乎完全一样，只是变种B技术特点方面在变种A的基础上作了修改，它改进了它的发邮件功能，解决了发送邮件失败的问题，增强了窃密能力，需要更加注意防范。

　　“QQ密探” 变种A与变种B都是远程控制端通过生成相应的QQ消息来控制其服务端，发送的消息跟病毒进行的操作对应如下：

　　“去看看！wsdgs!!@@iXT 3;lGim OKdrk uLL&&&&ldUimlw$$”->此发送的消息为下载木马网址（@@后面是随机字符）；

　　“我看看！wsdgs@@0/$s^t&&&&”→此消息为从染毒机器中下载文件；

　　“你好啊！wsdgs@@1234567&&&&”→此消息为共享C盘；

　　“去试试！wsdgs@@iXT 3;lGim OKdrk uLL&&&&”→此消息执行文件；

　　“死机了？wsdgs”→关机；

　　“掉线了？wsdgs”→重启；

　　“在干嘛？wsdgs!! ”→抓屏并发Mail；

　　“还在啊？wsdgs!! ”→列举进程并Mail；

　　“怎么了？wsdgs@@1234&&&&”→关闭进程；

　　“冷雨打芭蕉”→关闭对方QQ；

　　“江湖一剑飘”→关闭木马；

　　“天涯任逍遥”→卸载木马。

　　目前由于该病毒的进程名是断变化的，金山毒霸反病毒工程师告诫广大用户不要以手工方式来解决该病毒，因为我们手工并不易手工清除。如有金山毒霸的用户可以升级自己的病毒库到2004年5月26日，就可以完全处理该病毒。同时我们尽量预防该病毒的作怪，尽量养成良好的电脑操作习惯，不要轻易运行QQ上发送过来的具有诱惑性名称的不明文件，并一定要对收到的文件进行查毒操作，确保无毒后再运行。如万一有用户不幸中了该病毒，可以到http://www.duba.net/download/3/34.shtml 下载最新的QQ专杀工具，进行全盘查杀，彻底清除该病毒。