每日病毒播报 日日更新

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/VB.Small.aho“小不点”变种aho和Worm/AutoRun.cnk“U盘寄生虫”变种cnk值得关注。

英文名称：Trojan/VB.Small.aho
中文名称：“小不点”变种aho
病毒长度：35087字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/VB.Small.aho“小不点”变种aho是“小不点”木马家族中的最新成员之一，采用VB语言编写，并且经过加壳保护处理。“小不点”变种aho运行后，在被感染计算机系统的“c:\temp\”目录下释放病毒组件文件“killvv.sys”和“*.exe”（文件名随机生成）。在被感染计算机系统的“%SystemRoot%\”和“%SystemRoot%\system32\”目录下分别释放恶意组件“yuiabct.exe”和“yuiabct.dll”。修改注册表，实现木马开机自动运行。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现某些安全软件进程存在便会尝试结束其进程。利用进程映像劫持功能来阻止某些安全软件的启动，达到自我保护的目的。“小不点”变种aho释放出来的恶意DLL组件“yuiabct.dll”是一个专门盗取网络游戏“奇迹世界Online”和“魔兽世界Online”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来一定程度的损失。

英文名称：Worm/AutoRun.cnk
中文名称：“U盘寄生虫”变种cnk
病毒长度：15872字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.cnk“U盘寄生虫”变种cnk是“U盘寄生虫”蠕虫家族的最新成员之一，采用“Microsoft Visual C++”编写，并且经过加壳保护处理。“U盘寄生虫”变种cnk运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的窗口（如“专杀”、“防火墙”、“杀毒”等），便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。遍历当前系统中的所有进程，一旦发现某些安全软件进程存在，便会尝试结束其进程，达到自我保护的目的。强行删除注册表相关项，达到破坏被感染计算机系统安全模式的目的。“U盘寄生虫”变种cnk会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”和病毒主程序文件“TG.PIF”（“U盘寄生虫”变种cnk），实现双击盘符启动“U盘寄生虫”变种cnk运行，从而利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播，给计算机用户带来潜在的威胁。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://m.*c*5.com/dd/”，下载恶意程序“x.gif”、“1.exe”、“2.exe”、“3.exe”、“4.exe”、“5.exe”、“6.exe”、“7.exe”、“8.exe”、“9.exe”、“10.exe”、“15.exe”并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来不同程度的损失。另外，“U盘寄生虫”变种cnk会通过在被感染计算机系统“启动”文件夹中创建病毒主程序文件的方式来实现蠕虫开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

flb_2001

又是木马和蠕虫

mz198424

消灭它们。。。

flb_2001

我可对付不了他们

1985yuxiang

江民今日提醒您注意：在今天的病毒中TrojanSpy.Soulwork.c“灵魂杀手”变种c和Trojan/PSW.QQGame.br“QQ游贼”变种br值得关注。

英文名称：TrojanSpy.Soulwork.c
中文名称：“灵魂杀手”变种c
病毒长度：24576字节
病毒类型：间谍类木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Soulwork.c“灵魂杀手”变种c是“灵魂杀手”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户和安全软件查杀。“灵魂杀手”变种c是一个专门盗取网络游戏“剑侠情缘II Online”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“灵魂杀手”变种c会通过修改系统注册表的方式来实现木马开机自启动。

英文名称：Trojan/PSW.QQGame.br
中文名称：“QQ游贼”变种br
病毒长度：55214字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQGame.br“QQ游贼”变种br是“QQ游贼”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“QQ游贼”变种br运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL功能组件“SysDown.vxd”，并将其插入到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取配置文件（加密），然后根据该文件中的设置执行相应的恶意操作。“QQ游贼”变种br是一个专门盗取“QQ网络游戏”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来极大的损失。另外，“QQ游贼”变种br还会自升级。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    6、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/VB.ejj“视频宝宝”变种ejj和Trojan/Chinaad.e“恶搞鬼”变种e值得关注。

英文名称：Trojan/VB.ejj
中文名称：“视频宝宝”变种ejj
病毒长度：368640字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/VB.ejj“视频宝宝”变种ejj是一个传播QQ钓鱼网站的木马程序，通过弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗，从而利用让用户交纳手续费的方式来骗取其钱财。该病毒图标伪装成一只小企鹅（类似于腾讯QQ软件的图标，只是清晰度很差），采用VB语言编写，并且经过加壳保护处理。“视频宝宝”变种ejj运行后，在被感染计算机系统中定时弹出伪装的QQ中奖消息窗口来诱惑用户上当受骗。这些广告来源地址为“http://q*x*2.cn/m/test.htm”、“http://*qxm*.cn/m/gx.htm”，骇客可以远程随意更新这些网址上的信息内容。一旦用户点击了这些窗口中的恶意网站链接，该木马程序便会调用IE浏览器打开伪装的腾讯QQ网站，并显示虚假的中奖信息，诱惑用户点击并进入领奖窗口。用户按照中奖消息上提供的验证码“2818”去钓鱼网站“http://*qxm*.cn/ndex.htm”上领取奖品，需要填写个人信息资料等信息。当用户输入的验证码不是“2818”时，钓鱼网站会提示“激活码验证不正确！（无法确认您的幸运身份）请正确输入！”，这样可以降低用户的可疑心理。领奖信息全部填写完毕后，钓鱼网站会提示您给骇客的银行帐户汇钱（如果中的是二等奖，需要打1200元），就算用户把钱汇过去，也不会得到任何奖品，因为这些骇客就是为了骗钱才建立的这种钓鱼网站。“视频宝宝”变种ejj还会连接骇客指定的远程服务器站点“http://*qxm*.cn/m/”下载一个文件“system.wma”。另外，“视频宝宝”变种ejj无启动项，是借助其它病毒的调用而启动运行的。

英文名称：Trojan/Chinaad.e
中文名称：“恶搞鬼”变种e
病毒长度：148992字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Chinaad.e“恶搞鬼”变种e是“恶搞鬼”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户和安全软件查杀。“恶搞鬼”变种e运行时，会在被感染计算机系统的后台定时访问指定的恶意广告站点，提高这些恶意网站的访问量（网络排名），不仅给骇客带来经济利益，而且还会严重影响和干扰用户的正常操作。另外，“恶搞鬼”变种e还会占用大量系统资源，极大地降低了系统的运行速度。“恶搞鬼”变种e在被感染计算机系统中将自身注册为BHO（Browser Helper Object，浏览器辅助对象，简称BHO），实现木马随IE浏览器的启动而加载运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    6、不要轻易点击中奖消息窗口，确认消息来源，并克服一定的好奇心理，以免中毒。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/Vundo.efm“雾毒”变种efm和Trojan/Vapsup.bdd“歪速波”变种bdd值得关注。

英文名称：Trojan/Vundo.efm
中文名称：“雾毒”变种efm
病毒长度：81408字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vundo.efm“雾毒”变种efm是“雾毒”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件所查杀。“雾毒”变种efm是一个专门盗取网络游戏“封印簡訊Online”玩家会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、角色等级、金钱数量、仓库密码等信息资料，致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失，给游戏玩家带来不同程度的损失。同时，“雾毒”变种efm还具有窃取玩家游戏账号密码保护资料的功能。如果游戏玩家发现自己的游戏账号被盗，请千万不要在当前被感染的计算机上登陆该网络游戏的会员官方网站去找回游戏密码，不然可能会连同密码保护资料一同被骇客盗取，带来更大程度的损失。“雾毒”变种efm运行时，修改注册表，实现木马开机自动运行；在被感染计算机的后台秘密监视用户打开的所有网页窗口，一旦发现“GASH网络游戏”官方网站的会员登陆窗口便开始记录用户输入的信息（利用钩子和自动读取分析网页代码提交表单等方式），从而达到窃取用户“GASH网络游戏”官方网站会员账号和会员密码等机密信息资料的目的，并在后台将窃取的这些机密信息资料发送到骇客指定的远程服务器站点中或邮箱里，会给被感染计算机用户带来一定程度的损失。

英文名称：Trojan/Vapsup.bdd
中文名称：“歪速波”变种bdd
病毒长度：320512字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vapsup.bdd“歪速波”变种bdd是“歪速波”木马家族中的最新成员之一，采用“Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般通过共享软件捆绑等方式安装到被感染计算机上。安装后会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户和安全软件查杀。“歪速波”变种bdd运行时，会在被感染的计算机系统中定时弹出恶意广告网站，从而提高这些恶意网站的访问量（网络排名），不仅给骇客带来经济利益，而且还会严重影响和干扰用户的正常操作。另外，“歪速波”变种bdd还会占用大量系统资源，极大地降低了系统的运行速度。该病毒具有自动更新功能，在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取配置文件“update.ini”，然后根据该文件中的设置执行相应的恶意操作。另外，“歪速波”变种bdd会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Packed.Krap.z“卡拉蜜”变种z和Rootkit.Vanti.fzh“顽梯”变种fzh值得关注。

英文名称：Packed.Krap.z
中文名称：“卡拉蜜”变种z
病毒长度：145814字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Krap.z“卡拉蜜”变种z是“卡拉蜜”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“卡拉蜜”变种z运行后，自我复制到被感染计算机系统的“%SystemRoot%\Help\”目录下，并重新命名为“EB6C4499B05F.exe”，文件属性设置为：系统、隐藏、存档。在被感染计算机系统的“%SystemRoot%\Help\”目录下释放一个恶意DLL功能组件“EB6C4499B05F.dll”，将其插入到被感染计算机系统“explorer.exe”等用户级权限的进程中加载运行，并在后台执行相应的恶意操作，隐藏自我，防止被查杀。“卡拉蜜”变种z会在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警报”、“网页”）便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。强行篡改系统日期，利用某些安全软件存在的“时间判断”缺陷使其保护功能失效，进而达到自我保护的目的。“卡拉蜜”变种z可盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏的会员账号，会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来一定程度的损失。同时，该木马还会窃取用户“雅虎通（Yahoo! Messenger）”和“Yahoo奇魔”的账号信息，并在后台发送到骇客指定的远程服务器站点上。“卡拉蜜”变种z具有自动更新功能，连接指定站点进行自动升级。另外，“卡拉蜜”变种z会通过修改系统注册表的方式来实现木马开机自启动。

英文名称：Rootkit.Vanti.fzh
中文名称：“顽梯”变种fzh
病毒长度：9056字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Vanti.fzh“顽梯”变种fzh是“顽梯”木马家族中的最新成员之一，采用内核级Rootkit技术来实现隐藏自我，未经过加密保护处理。“顽梯”变种fzh在用户计算机系统中安装注册运行后，利用高级的Rootkit技术（内核级的钩子“SSDT HOOK”与“FSD HOOK”）隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息，防止被安全软件和用户查杀，达到更好的隐蔽效果。其中，该恶意驱动程序属于某病毒整体中的一个功能模块，伴随该恶意驱动程序的出现，还会有其它恶意功能模块也一同被安装到系统中。用户计算机系统一旦感染该病毒，则很难清除干净。另外，“顽梯”变种fzh会通过在被感染计算机中注册系统服务的方式来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    6、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中Trojan/Delux.b“隐形贼”变种b和Trojan/PSW.QQPass.cvv“QQ大盗”变种cvv值得关注。

英文名称：Trojan/Delux.b
中文名称：“隐形贼”变种b
病毒长度：51760字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Delux.b“隐形贼”变种b是“隐形贼”木马家族中的最新成员之一，采用“VC++”编写，并且经过加壳保护处理。“隐形贼”变种b运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“hotss.exe”，文件属性设置为：系统、隐藏、存档。在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放病毒组件“hotss.dll”和“hotss.sys”。修改注册表，实现木马开机自动运行。“隐形贼”变种b运行时，会将恶意可执行代码注入到系统“lsass.exe”进程中调用运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。利用高级的Rootkit技术（内核级的钩子“SSDT HOOK”与“FSD HOOK”）隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息，防止被用户和安全软件发现、查杀。在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取远程控制端真实地址，然后侦听骇客指令，从而使骇客达到远程控制的目的。“隐形贼”变种b还具有远程监视、控制等功能，它可以对文件进行任意操作、监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可能会窃取用户计算机中存放的机密信息，修改或删除这些机密资料，给用户的计算机安全和个人隐私带来严重的威胁，甚至对商业机密造成无法挽回的损失。用户计算机一旦感染了“隐形贼”变种b便会变成网络僵尸傀儡主机，骇客便会利用被感染的计算机对任意重要服务器站点进行DDoS攻击和洪水攻击等。

英文名称：Trojan/PSW.QQPass.cvv
中文名称：“QQ大盗”变种cvv
病毒长度：101376字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.cvv“QQ大盗”变种cvv是“QQ大盗”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取配置文件（加密），然后根据该文件中的设置执行相应的恶意操作。修改注册表，实现木马开机自动运行。“QQ大盗”变种cvv是一个专门盗取“QQ网络游戏”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“QQ大盗”变种cvv还可以自升级。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    6、使用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

1985yuxiang

江民今日提醒您注意：在今天的病毒中TrojanDownloader.ACVE.d“反杀者”变种d和Backdoor/Agent.bszb“代理”变种bszb值得关注。

英文名称：TrojanDownloader.ACVE.d
中文名称：“反杀者”变种d
病毒长度：11441字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.ACVE.d“反杀者”变种d是“反杀者”木马下载器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“反杀者”变种d运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“systemIdIe.exe”。修改注册表，实现木马开机自动运行。在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放病毒组件文件“Winsp.dll”和“kisawids.sys”。在被感染计算机的后台遍历当前系统中所有进程，一旦发现某些安全软件进程存在便会尝试将其结束。利用进程映像劫持功能，试图屏蔽用户系统中某些安全软件的运行。利用域名映像劫持功能在被感染计算机的后台强行篡改系统中的Hosts文件，屏蔽某些安全站点，阻止用户对这些安全网站的访问，从而达到自我保护的目的。“反杀者”变种d还会在被感染计算机系统的后台连接骇客指定远程服务器站点“http://www.m*d17*.cn/”，获取配置文件“o.jpg”，根据该文件中的设置执行相应的恶意操作。另外，“反杀者”变种d在被感染计算机系统中安装完毕后会将自身的安装程序删除掉，以达到消除痕迹的目的。

英文名称：Backdoor/Agent.bszb
中文名称：“代理”变种bszb
病毒长度：32256字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Backdoor/Agent.bszb“代理”变种bszb是“代理”后门家族中的最新成员之一，采用VC++编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，运行后会将恶意可执行代码注入到系统“lsass.exe”进程中调用运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“代理”变种bszb属于反向连接后门程序，会在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取远程控制端的真实地址，然后侦听骇客指令，从而达到骇客远程控制被感染计算机的目的。该后门具有远程监视、控制等功能，它可以对文件进行任意操作、监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可能会窃取用户计算机中存放着的机密信息，修改或删除这些机密资料，给用户的计算机安全和个人隐私带来严重的威胁，甚至对商业机密造成无法挽回的损失。用户计算机一旦感染了“代理”变种bszb便会变成网络僵尸傀儡主机，骇客会利用被感染的计算机对任意站点进行DDoS攻击、洪水攻击等。另外，“代理”变种bszb还会通过自我注册为系统服务来实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。