每日病毒播报 日日更新

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQGame.hz“QQ游贼”变种hz和TrojanDropper.Agent.qhx“代理木马”变种qhx值得关注。

英文名称：Trojan/PSW.QQGame.hz
中文名称：“QQ游贼”变种hz
病毒长度：16384字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQGame.hz“QQ游贼”变种hz是“QQ游贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。该病毒是一个专门盗取“QQ自由幻想”网络游戏账号信息的木马程序，会被插入到“explorer.exe”及其所有用户级子进程中加载运行，运行后会检查自身所属进程是否为“QQffo.exe”。当发现自身所属进程确为“QQffo.exe”时，则通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级，甚至是密码保护资料等信息，之后会在后台将窃取到的玩家机密信息发送到骇客指定的远程站点上，致使网络游戏玩家的账号信息等丢失，遭受不同程度的财产损失。

英文名称：TrojanDropper.Agent.qhx
中文名称：“代理木马”变种qhx
病毒长度：5632字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.qhx“代理木马”变种qhx是“代理木马”木马家族中的最新成员之一，采用高级语言编写，经过花指令保护处理。“代理木马”变种qhx运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意驱动程序“antisg.sys”，并且通过创建服务“antisg”来实现木马的加载。该驱动文件的主要目的是为了破坏“地下城与勇士”、“QQ三国”等游戏的保护功能，破坏成功之后，“代理木马”变种qhx便会删除之前所创建的病毒文件和系统服务并退出运行，以销声匿迹。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.p“斯莱德”变种p和Trojan/PSW.GamePass.ahhb“网游大盗”变种ahhb值得关注。

英文名称：Trojan/Slefdel.p
中文名称：“斯莱德”变种p
病毒长度：754688字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.p“斯莱德”变种p是“斯莱德”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种p运行后，会自我复制到被感染计算机系统的“%CommonProgramFiles%\Microsoft Shared\MSInfo”目录下，并重新命名为“R_Server.exe”。同时，在被感染计算机中创建系统服务，以实现木马的开机自启动。“斯莱德”变种p在被感染计算机系统中安装完毕后，会通过启动服务的方式来激活自身副本，并在系统目录下创建批处理文件“Deleteme.bat”，以达到删除自我、消除痕迹的目的。副本被激活后，会首先创建IE浏览器进程并将自身代码注入其中运行，之后会将副本的原始进程结束，从而实现更深层次的隐蔽运行，防止被用户和杀毒软件轻易地发现和查杀。在后台尝试连接骇客指定的远程站点“125.*.*.77:800”，致使被感染计算机成为骇客恣意侵害的肉鸡。骇客利用“斯莱德”变种p可以远程对被感染计算机进行任意操作，其中包括“文件操作”、“注册表操作”、“屏幕监控”、“键盘监听”、“鼠标控制”，甚至是“摄像头抓图”等，对计算机用户的个人隐私和信息安全造成了严重的侵犯，甚至还可能会导致商业机密的泄露，使用户遭受更大的损失。另外，骇客还能向被感染计算机发送大量的恶意软件，使得被感染计算机用户面临更多不同程度的威胁。

英文名称：Trojan/PSW.GamePass.ahhb
中文名称：“网游大盗”变种ahhb
病毒长度：28672字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GamePass.ahhb“网游大盗”变种ahhb是“网游大盗”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放出来的DLL功能组件。“网游大盗”变种ahhb运行后，会解密所需要的重要API函数和链接库名称，并将“%SystemRoot%\system32\WS2_32.dll”复制到被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下，重新命名为“ztfast_32.dll”，以方便自身调用。“网游大盗”变种ahhb是一个专门盗取“天龙八部”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，一旦发现带有“天龙八部”字样的窗口，便会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器中，致使游戏账号等信息丢失，给网游玩家带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    5、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    6、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    7、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    8、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Element.k“毒素”变种k和Trojan/PSW.QQShou.ic“QQ秀”变种ic值得关注。

英文名称：Trojan/PSW.Element.k
中文名称：“毒素”变种k
病毒长度：25088字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Element.k“毒素”变种k是“毒素”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“毒素”变种k运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒文件“sh17017.exe”并调用运行。“sh17017.exe”运行后，会释放恶意驱动文件“antisg.sys”至“%SystemRoot%\system32\”目录下，并通过创建系统服务来加载该驱动程序。该驱动的主要目的是破坏“地下城与勇士”等腾讯公司网游的保护功能，破坏成功之后，“sh17017.exe”便会将释放的驱动和创建的系统服务删除并退出运行，以达到销声匿迹的目的。“毒素”变种k本身则是一个专门盗取网游“地下城与勇士”会员账号的木马程序，会在被感染计算机的后台查找是否存在指定的游戏进程。如果发现这些进程的存在，则会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“毒素”变种k还会强行篡改系统hosts文件，以阻止对一些游戏官方网站的访问。

英文名称：Trojan/PSW.QQShou.ic
中文名称：“QQ秀”变种ic
病毒长度：17576字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.ic“QQ秀”变种ic是“QQ秀”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0 MFC”编写，并且经过加壳保护处理。“QQ秀”变种ic运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时，还会在该目录下释放其它的附属模块。修改注册表启动项，以实现木马开机后的自动运行。在被感染计算机后台遍历当前系统中运行着的进程，如果发现某些指定的安全软件存在时，就会尝试将其结束，以达到自我保护的目的。“QQ秀”变种ic是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序，会在被感染计算机的后台秘密监视QQ的登陆窗口，然后利用键盘钩子、内存截取或封包截取等技术盗取账户信息，并在后台将窃取到的信息发送到骇客指定的邮箱中，致使感染该木马的QQ用户蒙受不同程度的财产损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/PSW.SHQZ.b“水浒大盗”变种b和Trojan/StartPage.bym“初始页”变种bym值得关注。

英文名称：Trojan/PSW.SHQZ.b
中文名称：“水浒大盗”变种b
病毒长度：28672字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.SHQZ.b“水浒大盗”变种b是“水浒大盗”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“水浒大盗”变种b是一个专门盗取“水浒Q传”网络游戏会员账号的木马程序，会被注入到“explorer.exe”及其所有用户级权限的进程中加载运行。运行后在系统后台对指定进程进行监视，如果发现指定程序的运行，便会通过键盘钩子截获网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://www.wom***age.cn/biyi1/mail.asp”上，致使网游玩家游戏账号及其相关信息丢失，从而给游戏玩家造成不同程度的财产损失。另外，“水浒大盗”变种b还会在被感染计算机中自我注册为系统服务，实现木马开机后的自动运行。

英文名称：Trojan/StartPage.bym
中文名称：“初始页”变种bym
病毒长度：9728字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.bym“初始页”变种bym是“初始页”木马家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“初始页”变种bym运行时，会强行篡改系统注册表，将IE浏览器默认首页设置为某搜索引擎。同时，关闭、禁用“Windows安全中心”和“Windows防火墙”，降低了被感染计算机的安全性。在后台连接骇客指定的站点，下载名为“antivirus2009”的木马并强行安装。该木马会将自身伪装成杀毒软件，弹出虚假信息提示用户的计算机被病毒感染，在后台下载大量的恶意程序到被感染的系统中，致使计算机面临着极大的安全威胁和风险。另外，骇客还指定了许多其它的下载地址，不仅起到了更好的传播效果，还给不法分子谋取不正当利益提供了更多途径。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Packed.Klone.jy“克隆先生”变种jy和Trojan/PSW.Tibia.lu“Tibia游贼”变种lu值得关注。

英文名称：Packed.Klone.jy
中文名称：“克隆先生”变种jy
病毒长度：385024字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Klone.jy“克隆先生”变种jy是“克隆先生”木马家族中的最新成员之一，采用Delphi编写，并且经过加壳保护处理。“克隆先生”变种jy运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，并重新命名为“saber.exe”。自我注册为系统服务，以此实现木马的开机自启动。“克隆先生”变种jy安装完毕后，会在“%SystemRoot%\system32\”下创建“Deleteme.bat”以将病毒原始程序删除，从而到达消除痕迹、隐藏自我的目的。“克隆先生”变种是一个功能强大的木马服务端。运行后，会创建“Winlogon”进程并自我注入其中隐蔽运行。在后台不断连接骇客指定站点，如果连接成功，就会接收骇客的恶意控制指令，使得被感染计算机成为任人控制的傀儡主机。骇客可通过“克隆先生”变种jy对被感染计算机进行任意操控，其中包括文件操作、进程控制、注册表操作、屏幕监控、键盘监听、摄像头抓图、鼠标控制等，严重的侵犯了用户的信息安全和个人隐私，甚至还可能对商业机密造成无法估量的损失。同时，骇客还可能利用“克隆先生”变种jy向被感染计算机传送大量的病毒、木马等恶意程序，从而使得用户面临更大程度的安全威胁。

英文名称：Trojan/PSW.Tibia.lu
中文名称：“Tibia游贼”变种lu
病毒长度：375838字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Tibia.lu“Tibia游贼”变种lu是“Tibia游贼”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“Tibia游贼”变种lu运行后，会通过调用系统命令的方式自我复制到被感染计算机系统的“%USERPROFILE%\「开始」菜单\程序\启动\”目录下，重新命名为“lsass.exe”，以此实现木马的开机自动运行。“Tibia游贼”变种lu是一个专门盗取风靡欧洲的“Tibia”网络游戏会员账号的木马程序，会在被感染计算机系统的后台秘密监视运行着的所有应用程序的窗口标题，一旦发现“Tibia”的窗口存在，便会利用内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、物品、金钱等丢失，给游戏玩家造成不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Worm/Kapucen.r“卡布虫”变种r和Trojan/PSW.Moshou.aur“魔兽”变种aur值得关注。

英文名称：Worm/Kapucen.r
中文名称：“卡布虫”变种r
病毒长度：106496字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Kapucen.r“卡布虫”变种r是“卡布虫”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“卡布虫”变种r运行后，会自我复制到被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下，重新命名为“svchost.exe”。通过在注册表启动项中添加键值的方式，实现蠕虫的开机自动运行。遍历被感染计算机的C到G驱动器，搜索有效的网络共享文件夹。如果发现存在“.RAR”和“.ZIP”扩展名的压缩文件，则会将自身任意命名为“Setup.exe”、“Install.exe”或“_Run_Me_First.exe”，写入所发现的压缩文件中，实现网络共享传播。另外，该蠕虫不会进行重复感染，某些情况下会将被感染的压缩文件复制到其它目录中并重命名为“<原压缩文件名> updated-fixed Release <系统月>-<系统年>.rar”。

英文名称：Trojan/PSW.Moshou.aur
中文名称：“魔兽”变种aur
病毒长度：26476字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Moshou.aur“魔兽”变种aur是“魔兽”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“魔兽”变种aur运行后，会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下释放恶意DLL文件“textfont.dat”和“LPK.dll”，并将真正的系统文件“%SystemRoot%\system32\LPK.dll”复制到临时文件夹，并重新命名为“LOOPARK.dat”。“魔兽”变种aur所释放的组件“textfont.dat”是一个专门盗取“传奇2”网络游戏会员账号的木马程序，会被插入到“explorer.exe”及其所有的用户级权限的进程中加载运行。运行后会通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“魔兽”变种aur运行后还会在后台监视系统中正在运行的所有进程，一旦发现某些杀软的监控存在便直接退出运行，不会进行木马释放等一系列后续操作。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.ik“斯莱德”变种ik和Trojan/PSW.Lmir.dgb“传奇窃贼”变种dgb值得关注。

英文名称：Trojan/Slefdel.ik
中文名称：“斯莱德”变种ik
病毒长度：136192字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.ik“斯莱德”变种ik是“斯莱德”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种ik运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时，还会在该目录下释放一个恶意DLL功能组件，并修改上述两个文件的创建时间为系统安装日期，迷惑了计算机用户，提高了自我的生存能力。“斯莱德”变种ik所释放的DLL组件会在被感染计算机系统的后台连接骇客指定的远程服务器站点，下载恶意程序并调用运行。其中，所下载的恶意程序可能为网游盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会使用户面临不同程度的威胁。“斯莱德”变种ik在完成以上功能之后，创建一个批处理文件用以将自身删除，从而达到消除痕迹、防止被用户和安全软件轻易查杀的目的。另外，“斯莱德”变种ik会修改注册表，达到开机自动运行的目的。

英文名称：Trojan/PSW.Lmir.dgb
中文名称：“传奇窃贼”变种dgb
病毒长度：34156字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Lmir.dgb“传奇窃贼”变种dgb是“传奇窃贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，一般会被插入到“explorer.exe”及其所有用户级权限的进程中加载运行。“传奇窃贼”变种dgb是一个专门盗取“传奇”网络游戏会员账号的木马程序，通过监视系统进程、安装消息钩子的方式来截获网游玩家信息，盗取游戏玩家的账号、密码、区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的内容发送到骇客指定的远程服务器站点“http://www.sk***xw.cn/cqcqcq/flash.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的财产损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/Multis.c“魔笛斯”变种c和Trojan/PSW.Moyu.d“魔域大盗”变种d值得关注。

英文名称：Trojan/Multis.c
中文名称：“魔笛斯”变种c
病毒长度：34304字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Multis.c“魔笛斯”变种c是“魔笛斯”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“魔笛斯”变种c会将自身的文件描述冒充为某知名的安全工具，以麻痹用户的安全防范意识，诱导用户将其运行。该木马运行后，会分别自我复制到被感染计算机系统的“%SystemRoot%\system32\drivers\”、“%USERPROFILE%\”和“%USERPROFILE%\「开始」菜单\程序\启动\”目录下，并伪装成系统文件名（例如“services.exe”）。释放恶意DLL功能组件至系统目录中，并修改这些文件的时间为系统安装日期，从而达到迷惑用户、防止被查杀的目的，提高了木马自身的生存能力。“魔笛斯”变种c还会在本地创建9901端口的映射，并将自身加入到Windows防火墙的“例外”列表中以绕过防火墙。在后台连接骇客指定站点，获取恶意软件的下载地址并下载、调用运行，致使被感染计算机用户面临更多不同程度的安全威胁，极大地侵害了计算机用户的信息安全。另外，“魔笛斯”变种c会通过修改被感染计算机系统注册表启动项来实现木马开机自动运行。

英文名称：Trojan/PSW.Moyu.d
中文名称：“魔域大盗”变种d
病毒长度：19456字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Moyu.d“魔域大盗”变种d是“魔域大盗”木马家族中的最新成员之一，采用高级语言编写，是一个专门盗取“魔域Online”网络游戏会员账号的木马程序，一般会被插入到“explorer.exe”和“csrss.exe”中加载运行。“魔域大盗”变种d运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放配置文件，并强行篡改系统hosts文件，致使用户无法访问某些指定的网站。修改系统注册表，实现木马开机自启动。删除“%SystemRoot%\system32\drivers\”下的“TQSTSYS.SYS”，“TQATSYS.SYS”，使得某些游戏失去自我保护功能。“魔域大盗”变种d会在被感染计算机的后台秘密监视系统中所运行着的所有进程，当发现“魔域”网络游戏的运行时，便会利用内存截取或键盘监视等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQSG.b“QQ三国贼”变种b和TrojanSpy.Agent.hgv“代理木马”变种hgv值得关注。

英文名称：Trojan/PSW.QQSG.b
中文名称：“QQ三国贼”变种b
病毒长度：23552字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQSG.b“QQ三国贼”变种b是“QQ三国贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“QQ三国贼”变种b运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意程序。在被感染计算机的后台遍历当前所有进程，查找是否存在“QQ三国”网络游戏。当发现“QQ三国”网络游戏正在运行时，会通过内存截取等技术盗取“QQ三国”网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使“QQ三国”网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。“QQ三国贼”变种b还会强行篡改系统hosts文件，以屏蔽用户对大量游戏官方网站的访问，并将其非法地指向了骇客所设立的服务器“212.**.**.59”上。另外，“QQ三国贼”变种b会通过修改注册表启动项的方式实现开机自动运行。

英文名称：TrojanSpy.Agent.hgv
中文名称：“代理木马”变种hgv
病毒长度：129672字节
病毒类型：间谍类木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Agent.hgv“代理木马”变种hgv是“代理木马”间谍类木马家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写，并且经过加壳保护处理。“代理木马”变种hgv运行后，会在被感染计算机系统中创建一个隐藏的文件夹，将自我复制到其中，并在该目录下释放一个恶意DLL功能组件。同时，该文件夹还被用来存储“代理木马”变种hgv的配置信息、运行记录以及所搜集到的用户数据等。“代理木马”变种hgv运行时，会监视键盘输入，并通过安装消息钩子等方式截取“MSN”、“ICQ”、“Yahoo Messenger”等即时聊天工具的聊天记录等内容。每间隔5分钟便会进行屏幕截图，并将截图按照一定的规则命名保存。在后台秘密连接骇客指定的远程服务器站点，并将窃取到的用户私密信息发送到其中。“代理木马”变种hgv严重地威胁到了计算机用户的信息安全和个人隐私，同时，还可能对商业机密造成不同程度的侵害。

这给用户的计算机安全和个人隐私带来严重的威胁，甚至还会对商业机密造成无法挽回的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/CDur.f“扯淡鬼”变种f和Trojan/PSW.Chibi.b“赤壁贼”变种b值得关注。

英文名称：Trojan/CDur.f
中文名称：“扯淡鬼”变种f
病毒长度：173306字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/CDur.f“扯淡鬼”变种f是“扯淡鬼”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“扯淡鬼”变种f运行后，会在被感染计算机系统的“%SystemRoot%\system32\drivers\etc”目录下释放一个恶意DLL组件，文件名随机生成，并将创建时间设为系统安装日期，以此来达到欺骗用户、防止被轻易发现和查杀的目的。“扯淡鬼”变种f还会在“%SystemRoot%\system32\”下生成一个文件名随机的文件，并通过判断这个文件是否存在来防止系统被重复感染。在被感染系统的后台监视指定的安全软件进程，并通过进程结束、修改注册表的方式来达到干扰这些安全软件正常运行的目的，实现了对木马自身的保护，从而为其日后的潜伏和发作创造了条件。“扯淡鬼”变种f还会通过修改系统注册表的方式将释放的病毒组件添加到系统服务中，以此实现开机后的隐密运行。“扯淡鬼”变种f所释放的病毒组件是一个功能强大的远程控制木马服务端，启动后会在被感染计算机的后台连接骇客指定的IP地址“123.*.*.29:8800”，如果连接成功，便会致使被感染系统彻底地沦为受骇客控制的傀儡主机。骇客通过该木马可以对受控主机发送任意的恶意指令和执行任意的操作，其中包括：文件操作、命令执行、屏幕监视、键盘监听、鼠标控制、摄像头控制等，严重的侵害了被感染计算机用户的个人隐私以及合法权益，甚至还可能对商业机密造成不同程度的威胁，极大程度的破坏了互联网的整体安全环境。另外，该木马在完成安装后可进行自我删除以销声匿迹。

英文名称：Trojan/PSW.Chibi.b
中文名称：“赤壁贼”变种b
病毒长度：34520字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Chibi.b“赤壁贼”变种b是“赤壁贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能模块，一般会被插入到“explorer.exe”及其所有用户级权限的进程中加载运行，隐藏自我，防止被安全软件查杀。“赤壁贼”变种b运行后，会在后台查找“完美世界”网络游戏进程的存在，如果发现这些进程正在运行时，便会通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等，甚至还包括玩家的密码保护资料，并在后台将窃取到的玩家账号相关信息发送到骇客指定的远程服务器站点上（地址加密存放），致使“完美世界”网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。