江民科技 每天病毒播报

north_wolf

“植木马器”变种
江民今日提醒您注意：在今天的病毒中Trojan/Inject.cch“植木马器”变种cch和Trojan/FraudPack.md“诈骗箱”变种md值得关注。

英文名称：Trojan/Inject.cch
中文名称：“植木马器”变种cch
病毒长度：35840字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Inject.cch“植木马器”变种cch是“植木马器”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“植木马器”变种cch是一个专门盗取网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。利用域名映像劫持功能，在被感染计算机的后台强行篡改系统中的Hosts文件，屏蔽一些网络游戏站点，并将这些站点的解析地址指向“***.***.11.59”，从而使这些游戏的玩家在密码被窃后无法通过登录相应的网站找回自己的密码。另外，“植木马器”变种cch会向系统注册表启动项中添加键值来实现开机的自启动。

英文名称：Trojan/FraudPack.md
中文名称：“诈骗箱”变种md
病毒长度：69120字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/FraudPack.md“诈骗箱”变种md是“诈骗箱”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“诈骗箱”变种md运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存。修改系统注册表，实现木马随开机自动运行。在被感染计算机后台秘密窃取用户当前所用系统的配置信息，然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成一定程度的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    5、江民杀毒软件新增“沙盒”技术，“沙盒”系统在本机上接管与系统接口（API）相关的所有行为，如发现系病毒行为，则会执行“回滚”机制，将病毒执行的动作和留下的痕迹抹去，恢复系统到正常状态。
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上找回游戏密码，否则会连同您的密码保护资料一同被骇客盗取。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“鲨鱼门”变种
江民今日提醒您注意：在今天的病毒中Backdoor/Shark.zp“鲨鱼门”变种zp和Rootkit.Vanti.gde“顽梯”变种gde值得关注。

英文名称：Backdoor/Shark.zp
中文名称：“鲨鱼门”变种zp
病毒长度：386560字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Backdoor/Shark.zp“鲨鱼门”变种zp是“鲨鱼门”后门家族中的最新成员之一，采用“Delphi”语言编写，并且经过加壳保护处理。“鲨鱼门”变种zp运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，文件属性设置为：系统、隐藏、存档。“鲨鱼门”变种zp属于反向连接后门程序，会在被感染计算机系统的后台连接骇客指定的远程服务器地址“***.***.139.121:8060”，获取远程控制端真实地址，然后侦听骇客指令，从而达到被骇客远程控制的目的。该后门具有远程监视和控制等功能，它可以对文件进行任意操作、监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可能会窃取用户计算机中存放着的机密信息，修改或删除这些机密资料，给用户的信息安全带来严重的威胁，甚至为商业机密造成无法挽回的损失。用户计算机一旦感染了“鲨鱼门”变种zp便会变成网络僵尸傀儡主机，骇客会利用被感染的计算机对任意重要服务器站点进行DDoS攻击、洪水攻击等。另外，“鲨鱼门”变种zp会通过在被感染计算机中注册一个名为“Microsoft VC80 MFCLOC”的系统服务来实现开机自动运行。

英文名称：Rootkit.Vanti.gde
中文名称：“顽梯”变种gde
病毒长度：9216字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Vanti.gde“顽梯”变种gde是“顽梯”木马家族中的最新成员之一，是一个采用内核级Rootkit技术编写的恶意驱动程序，未经加密保护。“顽梯”变种gde在用户计算机系统中运行后，利用高级Rootkit技术（内核级的钩子“SSDT HOOK”与“FSD HOOK”）隐藏病毒进程、病毒文件和病毒在注册表中的启动项等特征信息，防止被安全软件所查杀，以达到更好的隐藏自我的目的。同时，该病毒还会在被感染计算机系统的后台阻止“Sysinternals Process Explorer”进程管理软件的运行。该恶意驱动程序属于某病毒中的一个功能模块，伴随着该恶意驱动程序的感染，还会有其它恶意程序被一同安装到计算机系统中。用户的计算机系统一旦感染了该病毒，则很难清除干净。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“U盘寄生虫”变种
江民今日提醒您注意：在今天的病毒中Worm/AutoRun.dnq“U盘寄生虫”变种dnq和TrojanSpy.Pophot.bzq“焦点间谍”变种bzq值得关注。

英文名称：Worm/AutoRun.dnq
中文名称：“U盘寄生虫”变种dnq
病毒长度：26529字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.dnq“U盘寄生虫”变种dnq是“U盘寄生虫”蠕虫家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“U盘寄生虫”变种dnq运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放“EXPL0RER.EXE”、“wsctf.exe”等多个恶意程序。在被感染计算机系统的后台监视程序窗口标题名称，如发现带有“跑跑卡丁车”、“魔兽”、“魔兽世界”、“梦幻”、“CS”等字符串的应用程序则将其强行关闭，使得这些游戏无法正常运行。“U盘寄生虫”变种dnq会在被感染计算机系统中所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件“EXPLORER.EXE”（“U盘寄生虫”变种dnq），文件属性设置为“系统、隐藏、只读、存档”，以实现双击盘符激活“U盘寄生虫”变种dnq，从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的，给计算机的信息安全带来了潜在的威胁。另外，“U盘寄生虫”变种dnq也会通过在被感染计算机启动项中添加键值的方式来实现开机自动运行。

英文名称：TrojanSpy.Pophot.bzq
中文名称：“焦点间谍”变种bzq
病毒长度：29696字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.bzq“焦点间谍”变种bzq是“焦点间谍”间谍类木马家族中的最新成员之一，采用Delphi语言编写，经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL文件，通过修改注册表启动项来实现开机的自启动。“焦点间谍”变种bzq运行后，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在后台执行恶意操作，隐藏自我以防止被安全软件查杀。在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警告”、“IE保护”、“主动防御”等）的窗口，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，从而达到自我保护的目的。在被感染计算机系统的后台连接骇客指定的远程服务器站点，下载恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区，而是通过资源管理器中左侧的“树形目录”或在地址栏中输入盘符的方式进行访问。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“QQ大盗”变种
江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQPass.udq“QQ大盗”变种udq和TrojanDownloader.JS.Agent.iy“代理木马”变种iy值得关注。

英文名称：Trojan/PSW.QQPass.udq
中文名称：“QQ大盗”变种udq
病毒长度：33397字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.udq“QQ大盗”变种udq是“QQ大盗”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“QQ大盗”变种udq运行后，会在被感染计算机系统的“%ProgramFiles%\Internet Explorer\PLUGINS\”目录下释放两个DLL病毒文件“321Nt64.Jmp”和“321Nt64.987”。其中，病毒文件“321Nt64.987”一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，执行恶意操作以防止被查杀。“QQ大盗”变种udq是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取用户的账号信息，并将其发送到骇客指定的服务器上（地址加密存放），给用户造成了一定程度上的损失。另外，“QQ大盗”变种udq通过在注册表中添加启动项来实现开机的自动运行。

英文名称：TrojanDownloader.JS.Agent.iy
中文名称：“代理木马”变种iy
病毒长度：2571字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.JS.Agent.iy“代理木马”变种iy是“代理木马”木马下载器家族中的最新成员之一，采用“JavaScript”脚本语言编写，并经过多层加密保护。“代理木马”变种iy是一个利用“超星阅读器”漏洞传播其它病毒的脚本病毒。“代理木马”变种iy一般内嵌在正常网页中，如果用户计算机没有及时升级修补“超星阅读器”相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种iy的恶意网页时，就会在当前用户计算机的后台连接骇客指定的远程服务器站点，下载恶意程序并自动调用运行。其中，所下载的恶意程序可能是网游木马、流氓广告、后门等，会给被感染计算机用户造成不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行传播。
    6、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

11月19日病毒播报
江民今日提醒您注意：在今天的病毒中TrojanSpy.OnLineGames.acoe“网游窃贼”变种acoe和TrojanSpy.Delf.dda“TrojanSpy.Delf”变种dda值得关注。

英文名称：TrojanSpy.OnLineGames.acoe
中文名称：“网游窃贼”变种acoe
病毒长度：23040字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.OnLineGames.acoe“网游窃贼”变种acoe是“网游窃贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。“网游窃贼”变种acoe是一个专门盗取“QQ华夏Online”、“地下城与勇士 Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备等丢失，给游戏玩家带来不同程度的损失。同时，“网游窃贼”变种acoe还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同密码保护资料一同被骇客盗取，从而造成更大程度上的损失。该病毒还会在被感染计算机后台强行篡改系统Hosts文件，以阻止用户对某些网络游戏网站的访问，从而达到干扰用户在丢失账号后找回密码的目的。另外，“网游窃贼”变种acoe会修改注册表启动项，实现木马的开机自启动。

英文名称：TrojanSpy.Delf.dda
中文名称：“TrojanSpy.Delf”变种dda
病毒长度：19512字节
病毒类型：间谍类木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Delf.dda“TrojanSpy.Delf”变种dda是“TrojanSpy.Delf”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理，通过修改系统注册表来实现木马的开机自动运行。“TrojanSpy.Delf”变种dda运行后，会自我复制到被感染计算机系统的指定目录下重新命名保存，同时，还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个DLL病毒文件“hexvimes.dll”。调用网络浏览器，自动对“http://l**o.m*9*2.com/”进行访问，以提高这些恶意网站的访问量（网络排名），不仅给骇客带来了经济利益，而且还严重影响和干扰了用户对系统的正常操作。同时，该木马还会搜索QQ聊天窗口，并向当前正在聊天的好友发送带毒文件和不良信息。“TrojanSpy.Delf”变种dda主程序执行完毕后会进行自我删除。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    5、江民杀毒软件新增“沙盒”技术，“沙盒”系统在本机上接管与系统接口（API）相关的所有行为，如发现系病毒行为，则会执行“回滚”机制，将病毒执行的动作和留下的痕迹抹去，恢复系统到正常状态。
    6、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行传播。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

11.19播报“视频宝宝”变种
江民今日提醒您注意：在今天的病毒中Trojan/VB.etk“视频宝宝”变种etk和TrojanSpy.Pophot.cdb“焦点间谍”变种cdb值得关注。

英文名称：Trojan/VB.etk
中文名称：“视频宝宝”变种etk
病毒长度：49152字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/VB.etk“视频宝宝”变种etk是“视频宝宝”木马家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，并且经过加壳保护处理。“视频宝宝”变种etk运行后，会自我复制到被感染计算机系统“%SystemRoot%\system32\system”目录下，并重新命名为“VirGear.exe”、“smss.exe”、“Gazette.exe”、“Gazerock.exe”、“Nugen.exe”。该病毒将自身图标伪装成视频文件的图标以诱骗用户点击，运行后病毒会调用Media Player播放器播放“clock.avi”视频文件，使用户误以为所点击的真的是一个视频文件而放松警惕。利用进程映像劫持来阻止某些安全软件的启动，达到自我保护的目的。强行破坏系统安全模式，使用户无法进入安全模式进行病毒的查杀。同时，会在被感染计算机中所有分区根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件“Winamps.exe”（“视频宝宝”变种etk），以实现双击盘符后激活“视频宝宝”变种etk的目的。该病毒还可以利用U盘等移动存储设备进行自我传播，会给计算机用户带来潜在的威胁。另外，“视频宝宝”变种etk可能会在被感染计算机系统的后台连接骇客指定的远程服务器站点，下载恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。

英文名称：TrojanSpy.Pophot.cdb
中文名称：“焦点间谍”变种cdb
病毒长度：29696字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.cdb“焦点间谍”变种cdb是“焦点间谍”间谍类木马家族中的最新成员之一，采用“Delphi”语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL病毒文件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。“焦点间谍”变种cdb运行后，会在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警告”、“IE保护”、“主动防御”等），便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，从而达到自我保护的目的。连接骇客指定的站点，下载恶意程序并调用执行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，为信息安全埋下了诸多隐患。另外，“焦点间谍”变种cdb会在被感染计算机系统注册表启动项中添加启动键值，以实现木马的开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    5、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    6、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区，而是通过资源管理器中左侧的“树形目录”或在地址栏中输入盘符的方式进行访问。使用U盘进行数据文件存储和拷贝时，确保开启了杀毒软件的“实时监控”功能，避免病毒文件入侵和感染系统。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

11.22病毒预警
江民今日提醒您注意：在今天的病毒中TrojanSpy.OnLineGames.iyo“网游窃贼”变种iyo和Trojan/AntiAV.dj“系统杀手”变种dj值得关注。

英文名称：TrojanSpy.OnLineGames.iyo
中文名称：“网游窃贼”变种iyo
病毒长度：12060字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.OnLineGames.iyo“网游窃贼”变种iyo是“网游窃贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“网游窃贼”变种iyo运行后，会在被感染计算机的系统目录下释放多个病毒文件，同时将其中的DLL病毒文件插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行，通过隐藏自身来防止被轻易地查杀。“网游窃贼”变种iyo是一个专门盗取“QQ华夏Online”、“地下城与勇士 Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。同时，“网游窃贼”变种iyo还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同密码保护资料一起被骇客盗取，进而蒙受更多的损失。“网游窃贼”变种iyo会利用域名映像劫持功能，阻止用户访问网络游戏的官方站点，从而延误了用户在丢失账号后立即取回密码的时机。“网游窃贼”变种iyo利用进程守护功能来实现自我保护。该病毒会通过替换系统文件来实现开机的自启动。如果安全软件直接删除了病毒文件的话，会导致被感染计算机出现复制（粘贴）功能失效等异常现象，严重地影响了用户对计算机系统的正常使用。另外，“网游窃贼”变种iyo的主程序执行完毕后会自我删除。

英文名称：Trojan/AntiAV.dj
中文名称：“系统杀手”变种dj
病毒长度：81408字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/AntiAV.dj“系统杀手”变种dj是“系统杀手”木马家族中的最新成员之一，采用Delphi语言编写，经过加壳保护处理。“系统杀手”变种dj运行后，会复制自身到系统“c:\tasks\”目录下并重新命名为“绿化.bat”和“csrss.exe”。同时，还会释放脚本文件“hackshen.vbs”和配置文件“SA.DAT”。禁用Windows 安全中心服务“Security Center”，使关闭安全软件后没有警告提示信息，从而达到自我保护的目的。后台调用系统进程“csrss.exe”，尝试结束某些安全软件的运行，给用户的计算机安全造成了一定的安全隐患。释放DLL病毒文件“wsock32.dll”到系统的所有目录下（其中，由于兼容性的问题，可能会导致某些系统软件启动后会报错、退出），利用DLL劫持原理，使某些带有连网功能的软件自动连接骇客指定站点“http://211.***.***.32/wm/”，下载恶意程序“mm.exe”并调用运行（其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户造成不同程度的安全威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    5、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    6、江民杀毒软件新增“沙盒”技术，“沙盒”系统在本机上接管与系统接口（API）相关的所有行为，如发现系病毒行为，则会执行“回滚”机制，将病毒执行的动作和留下的痕迹抹去，恢复系统到正常状态。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

11.23病毒预警
江民今日提醒您注意：在今天的病毒中Trojan/QQFishing.b“QQ诈骗犯”变种b和Trojan/FlyStudio.dz“苍蝇贼”变种dz值得关注。

英文名称：Trojan/QQFishing.b
中文名称：“QQ诈骗犯”变种b
病毒长度：368640字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/QQFishing.b“QQ诈骗犯”变种b是一个传播QQ钓鱼网站的木马程序，通过弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗，从而利用让用户交纳手续费的方式来骗取钱财。该病毒采用VB语言编写，经过加壳保护处理。“QQ诈骗犯”变种b运行时，会在被感染计算机系统中定时弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗。这些广告来源地址为“http://www.**q*8.cn/m/gx.htm”，骇客可以远程随意更新这些广告网址上的信息内容。如果用户不慎点击了这些广告条窗口中的恶意网站连接，该木马程序就会调用IE浏览器打开伪造的网站，并显示虚假的中奖信息，诱惑用户点击并进入领奖窗口。用户按照中奖消息上提供的验证码去钓鱼网站上领取奖品时，需要填写个人资料等信息。领奖信息全部填写完成后，钓鱼网站会提示被骗者给骇客的银行帐户汇钱，从而给被骗者造成不同程度的经济损失。另外“QQ诈骗犯”变种b是通过其它病毒的调用而启动运行的。

英文名称：Trojan/FlyStudio.dz
中文名称：“苍蝇贼”变种dz
病毒长度：142848字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/FlyStudio.dz“苍蝇贼”变种dz是“苍蝇贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL病毒文件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，防止被发现和查杀。“苍蝇贼”变种dz运行时，会在被感染计算机系统的后台秘密监视用户的键盘输入，窃取用户输入的大部分账号及密码等机密信息资料，并在后台将窃取的这些机密信息资料发送到骇客指定的远程服务器站点或邮箱里，会给被感染计算机用户的合法权益造成不同程度的侵害。“苍蝇贼”变种dz运行后，会在系统的后台秘密连接骇客指定的服务器，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“苍蝇贼”变种dz木马程序来实现远程控制，严重的威胁到了计算机用户的信息安全，甚至还会对商业机密造成无法挽回的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    5、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    6、不要轻易点击中奖消息窗口，确认消息来源，并克服一定的好奇心理，以免中毒。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

11.24病毒预警
江民今日提醒您注意：在今天的病毒中Trojan/PSW.Moshou.auj“魔兽”变种auj和Exploit.IMG-WMF.l“IMG-WMF漏洞利用者”变种l值得关注。

英文名称：Trojan/PSW.Moshou.auj
中文名称：“魔兽”变种auj
病毒长度：42598字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Moshou.auj“魔兽”变种auj是“魔兽”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“魔兽”变种auj是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“魔兽”变种auj会通过在被感染计算机注册表启动项中添加键值的方式实现开机后木马自动运行。

英文名称：Exploit.IMG-WMF.l
中文名称：“IMG-WMF漏洞利用者”变种l
病毒长度：16384字节
病毒类型：木马
危险级别：★★
影响平台：Win 2000/XP/2003/VISTA/2008
Exploit.IMG-WMF.l“IMG-WMF漏洞利用者”变种l是一个利用微软MS08-067漏洞进行恶意攻击的工具。攻击者会利用该工具向指定用户计算机发送特定的远程连接请求。如果用户的计算机没有及时修补该漏洞，在收到该工具发送的特制RPC请求后，会使攻击者不经身份验证，便可成功在远程计算机中执行恶意代码。此漏洞已被用于一些蠕虫攻击事件之中，攻击成功后会导致被攻击系统自动下载骇客指定远程服务器上的恶意程序，并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的安全威胁。强烈建议您使用江民安全工具中的“系统漏洞检查”功能修复该漏洞。同时，安装并合理配置防火墙，以保护计算机系统不受恶意攻击之害。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、江民杀毒软件能够检测并自动修复系统漏洞，以阻止病毒利用系统漏洞进行传播。
    6、江民杀毒软件新增“沙盒”技术，“沙盒”系统在本机上接管与系统接口（API）相关的所有行为，如发现系病毒行为，则会执行“回滚”机制，将病毒执行的动作和留下的痕迹抹去，恢复系统到正常状态。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

11.24病毒播报“魔兽杀手”变种
江民今日提醒您注意：在今天的病毒中TrojanSpy.WOW.fr“魔兽杀手”变种fr和Rootkit.Agent.ap“代理”变种ap值得关注。

英文名称：TrojanSpy.WOW.fr
中文名称：“魔兽杀手”变种fr
病毒长度：31300字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.WOW.fr“魔兽杀手”变种fr是“魔兽杀手”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。“魔兽杀手”变种fr运行后，会在被感染计算机系统的临时文件夹下释放一个DLL病毒文件，并将其插入到被感染计算机系统的“explorer.exe”进程中加载运行。在后台执行相应的恶意操作，隐藏自我，防止被查杀。“魔兽杀手”变种fr是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“魔兽杀手”变种fr会修改系统注册表启动项，以实现开机后木马自动运行。

英文名称：Rootkit.Agent.ap
中文名称：“代理”变种ap
病毒长度：9056字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Agent.ap“代理”变种ap是“代理”木马家族中的最新成员之一，是一个采用内核级Rootkit技术来实现自我隐藏的恶意驱动程序，未经过加密保护处理。“代理”变种ap在用户计算机系统中注册、运行后，利用高级的Rootkit技术（内核级的钩子“SSDT HOOK”与“FSD HOOK”）隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息，防止被用户发现、被安全软件查杀，从而达到了更好的隐蔽效果。该恶意驱动程序属于某病毒整体中的一个功能模块，伴随该恶意驱动程序的出现，还会有其它恶意功能模块也一同被安装到了被感染计算机的系统中。一旦用户的计算机系统感染了该病毒，则很难将其清除干净。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    5、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。