“中国IT认证实验室”网站竟成为病毒“实验室”。一专盗用户QQ帐号、密码的“QQ大盗”病毒正藏身网站“IT培训”页，只等网友点击该页面便悄悄潜伏，伺机作案。

5月7日，江民反病毒中心监测到，中国IT认证实验室网站（chinaitlab.com）首页“IT培训”栏目包含病毒链接，点击该链接后，恶意网页代码会自动下载并运行 “QQ大盗”木马病毒（Trojan/PSW.QQpass.br）。中国IT认证实验室网站已成为继前不久登封市新华书店网站后“QQ大盗”的又一个“基地”。

记者从江民反病毒中心了解到，近来“QQ大盗”木马病毒十分猖獗，从四月第二周起已连续四周位列病毒排行榜首位。仅“五一”期间，江民KV免费在线杀毒(online.jiangmin.com)查获该病毒次数就已达46726次。此前，该病毒还藏身登封市新华书店网站进行传播，它利用IE浏览器的MHT文件下载执行漏洞，让用户不知情中下载恶意CHM文件，并运行内嵌其中的木马程序“QQ大盗”。

据江民反病毒专家介绍，这次“QQ大盗”更为隐秘，用户在访问中国IT认证实验室网站（chinaitlab.com）首页时并不会中毒，但二次页面上却悄悄包含病毒链接。一旦用户点击了首页上的“IT培训”链接，就会在后台以隐藏方式打开另一个恶意网页***.chinaitlab.com/train/teach2/ray.js（此网页包含恶意代码Exploit.MhtRedir.hov）。该恶意网页利用IE浏览器的MHT文件下载执行漏洞，在用户不知情中下载恶意CHM文件（TrojanDropper.Mht.Psyme.mv）并运行内嵌其中的木马程序。木马程序运行后，将在系统文件夹下生成NTdhcp.exe文件，添加注册表自启动项，以使病毒自身随Windows启动时同时运行。