北京网络行业协会、江民科技联合发布07月12日病毒播报

血腥魔术师

江民今日提醒您注意：在今天的病毒中Trojan/Hijack.bi“劫持犯”变种bi和TrojanProxy.Agent.axo“代理木马”变种axo值得关注。 \r\n\r\n病毒名称：Trojan/Hijack.bi \r\n中 文 名：“劫持犯”变种bi \r\n病毒长度：36368字节 \r\n病毒类型：木马 \r\n危险级别：★★ \r\n影响平台：Win 9X/ME/NT/2000/XP/2003 \r\nTrojan/Hijack.bi“劫持犯”变种bi是“劫持犯”木马家族的最新成员之一，采用VC编写，并经过添加保护壳处理。“劫持犯”变种bi运行后，强行将系统时间设置为2001年，导致某些安全软件杀毒和保护功能失效。在被感染计算机的后台调用系统“svchost.exe”进程，并将恶意代码注入到其中运行，实现反安全软件的功能，然后进行恶意操作。在被感染计算机系统的“%SystemRoot%\\system32\\”目录下创建病毒配置文件。在临时文件夹下释放恶意驱动文件，文件名随机生成，并将文件属性设置为隐藏。驱动文件可还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的，驱动文件还可能会覆盖破坏系统程序“explorer.exe”，把恶意可执行代码写入到系统程序中，具有绕过“还原保护系统”，覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程，强行将其关闭。在被感染计算机系统的“%SystemRoot%\\system32\\”目录下创建批处理文件并调用运行，利用该批处理程序去关闭“系统防火墙”。修改注册表，利用进程映像劫持功能禁止指定的安全软件运行。“劫持犯”变种bi会在被感染计算机系统的后台连接骇客指定站点，下载包括“系统杀手”、“ARP杀手”、“代理木马”、“机器狗”等大量木马病毒到用户计算机中安装运行，给用户带来极大的损失。“劫持犯”变种bi还会在任务执行完毕后，会马上关闭退出。在退出时，被注入恶意代码的系统“svchost.exe”进程会删除掉病毒所在磁盘中的文件，使用户无法寻找到该病毒样本。 \r\n\r\n病毒名称：TrojanProxy.Agent.axo \r\n中 文 名：“代理木马”变种axo \r\n病毒长度：35531字节 \r\n病毒类型：木马 \r\n危险级别：★★ \r\n影响平台：Win 9X/ME/NT/2000/XP/2003 \r\nTrojanProxy.Agent.axo“代理木马”变种axo是“代理木马”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“代理木马”变种axo运行后，自我复制到被感染计算机系统的“%SystemRoot%\\system32\\”目录下，重命名为“wfeoe.exe”和“yhiln.exe”，并将这两个文件添加为启动项，实现木马开机自动运行。提升自身权限，查找并强行关闭大量流行的安全软件，大大降低了被感染计算机上的安全性。强行调用某些安全软件自带的卸载程序，将被感染计算机上的安全软件卸载。强行篡改注册表，利用进程映像劫持功能禁止数百种安全软件及调试工具运行，致使用户计算机系统毫无安全保障。在被感染计算机硬盘各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件“yhiln.exe”（属性为“系统、隐藏”），实现双击盘符启动“代理木马”变种axo目的，从而利用U盘、移动硬盘等移动设备进行自我传播。 \r\n\r\n针对以上病毒，江民反病毒中心建议广大电脑用户： \r\n\r\n    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 \r\n    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 \r\n    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 \r\n    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。 \r\n    5、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页，如检测发现恶意网页，用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm \r\n    6、江民杀毒软件可以在系统崩溃无法进入的情况下，一键恢复系统，无论是恶性病毒破坏或电脑用户误删除系统文件，都可轻松还原系统到无毒状态或正常状态。 \r\n    7、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。 \r\n    8、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。 \r\n    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp \r\n\r\n    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。