江民科技 每天病毒播报

north_wolf

“斯莱德”变种12.7预警
江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.n“斯莱德”变种n和Trojan/PSW.QQHX.b“QQ华夏贼”变种b值得关注。

英文名称：Trojan/Slefdel.n
中文名称：“斯莱德”变种n
病毒长度：185856字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.n“斯莱德”变种n是“斯莱德”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种n运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名为“F_Server.EXE”，同时，还会在相同目录中释放一个DLL后门模块“F_Server.DLL”。在被感染计算机中自我注册一个系统服务，实现“斯莱德”变种n的开机自启动。“斯莱德”变种n在被感染计算机系统中安装完毕后，会将运行病毒副本，同时在系统目录下创建批处理文件“Deleteme.bat”，删除自我，从而达到消除痕迹的目的。“斯莱德”变种n在运行后，会创建IE浏览器进程，并将后门模块“F_Server.dll”注入其中运行。该后门模块运行后会连接骇客指定的URL“http://b****2.xicp.net:8088/IP.TXT”，并反向连接其中指定的IP地址，向其提供后门服务，使被感染的主机成为受人所控的傀儡。骇客可以通过该后门模块对被感染的主机进行任意的远程操作，其中包括“文件操作”、“注册表操作”、“屏幕监控”、“键盘监听”、“摄像头抓图”、“命令执行”等，严重的威胁了被感染计算机的信息安全和用户个人隐私，甚至可能会对商业机密造成严重的侵害。同时，骇客还可以向被感染计算机传送大量的病毒、木马和流氓软件等，并且通过“斯莱德”变种n调用执行，致使被感染计算机的用户面临着更多不同程度的风险。

英文名称：Trojan/PSW.QQHX.b
中文名称：“QQ华夏贼”变种b
病毒长度：15360字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQHX.b“QQ华夏贼”变种b是“QQ华夏贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行隐藏自我的操作，以防止被用户和安全软件轻易发现、查杀。“QQ华夏贼”变种b是一个专门盗取“寻仙Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://219.***.***.176/xunzong/post.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失。同时，“QQ华夏贼”变种b还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染计算机上登陆游戏官网去找回游戏密码，否则玩家的密码保护资料也会一同被骇客所盗取，使网游玩家蒙受更大程度的损失。另外，“QQ华夏贼”变种b会通过在被感染计算机注册表启动项中添加键值的方式来实现木马的开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    6、利用Windows Update功能打全系统补丁，避免病毒利用系统漏洞进行传播和运行。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“毒素”变种12.8 预警
江民今日提醒您注意：在今天的病毒中Trojan/PSW.Element.e“毒素”变种e和Trojan/PSW.Agent.gqy“代理木马”变种gqy值得关注。

英文名称：Trojan/PSW.Element.e
中文名称：“毒素”变种e
病毒长度：18432字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Element.e“毒素”变种e是“毒素”木马家族中的最新成员之一，采用高级语言编写，未经过添加保护壳处理。“毒素”变种e是由其它恶意程序释放出来的DLL功能组件，通过插入到“explorer.exe”和“csrss.exe”进程中加载运行。运行后，会在被感染计算机的后台秘密监视用户系统中所运行着的进程，如果发现“魔域”网络游戏的进程存在时，则会通过内存截取或键盘监视等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。同时，该病毒还会在被感染计算机的系统目录中释放一个配置文件，并且删除其它病毒所创建的一些文件。另外，“毒素”变种e由设置在注册表中的启动项实现开机加载运行。

英文名称：Trojan/PSW.Agent.gqy
中文名称：“代理木马”变种gqy
病毒长度：29184字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.gqy“代理木马”变种gqy是“代理木马”木马家族中的最新成员之一，采用Delphi语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“代理木马”变种gqy是一个专门盗取“R2”网络游戏会员账号的木马程序，通过插入“explorer.exe”等几乎所有用户级权限的进程中加载运行。如果该组件所插入的进程为“r2client.exe”（R2网游客户端），则利用消息钩子和内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://www.70***50.cn/go/”（地址加密存放）中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“代理木马”变种gqy还具有删除指定系统文件“%SystemRoot%\system32\verclsid.exe”和下载病毒配置文件等行为，破坏了计算机系统的完整性，干扰了系统的正常运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“焦点间谍”变种12.8预警
江民今日提醒您注意：在今天的病毒中TrojanSpy.Pophot.cho“焦点间谍”变种cho和Trojan/PSW.QQShou.ib“QQ秀”变种ib值得关注。

英文名称：TrojanSpy.Pophot.cho
中文名称：“焦点间谍”变种cho
病毒长度：79607字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.cho“焦点间谍”变种cho是“焦点间谍”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“焦点间谍”变种cho运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时，还会在相同目录与“%SystemRoot%\”目录下分别释放多个恶意DLL功能组件和配置文件。创建IE浏览器进程并将病毒文件注入其中加载运行，以实现更好的自我隐藏。修改注册表，实现木马的开机自动运行。在后台遍历当前系统的所有进程，如果发现指定安全软件存在时，便会尝试以多种方式将其结束，从而达到自我保护的目的。同时，该木马所释放的功能组件还可以通过鼠标模拟自动选择一些安全软件所弹出警示窗口的“允许”、“放行”等按钮，防止了病毒的恶意行为被安全软件所阻截。“焦点间谍”变种cho还会在后台连接骇客指定的URL“http://c*.*4s.com/cc.txt”，从中读取配置信息，并按照其中的设置进行网络攻击、木马下载的操作，致使被感染计算机用户受到更多不同程度的威胁，同时也影响了互联网的整体安全环境。另外，在“焦点间谍”变种cho木马及其释放的组件中，大量的数据、配置信息及所需调用的函数名都经过了二次加密处理，这样可以更好的达到逃避杀毒软件特征码检测、提高病毒自身生存几率的目的。

英文名称：Trojan/PSW.QQShou.ib
中文名称：“QQ秀”变种ib
病毒长度：45568字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.ib“QQ秀”变种ib是“QQ秀”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0 MFC”编写，并且经过加壳保护处理。“QQ秀”变种ib是一个木马生成器，用于生成盗取即时聊天工具“腾讯QQ”用户名和密码的木马病毒。其生成的木马可以在被感染计算机的后台秘密监视“腾讯QQ”的登陆窗口，然后利用键盘钩子、内存截取或封包截取等技术盗取QQ的账户信息，并在后台将窃取到的信息发送到骇客的指定邮箱中，给QQ用户造成了不同程度的财产损失，侵害了用户的合法权益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“初始页”变种byo12.10预警
江民今日提醒您注意：在今天的病毒中Trojan/StartPage.byo“初始页”变种byo和Trojan/PSW.WOW.i“魔兽贼”变种i值得关注。

英文名称：Trojan/StartPage.byo
中文名称：“初始页”变种byo
病毒长度：65536字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.byo“初始页”变种byo是“初始页”木马家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“初始页”变种byo运行后，会自我复制到被感染计算机系统中所有盘符根目录下并重新命名保存。同时，还会在C盘根目录下释放其它恶意文件。在注册表启动项中添加键值，以达到开机自动运行的目的。隐藏桌面原有的IE图标，并将伪造的IE快捷方式放置于桌面与快速启动栏中。强行篡改IE浏览器首页设置，使得用户在打开IE浏览器时便会自动连接到骇客指定的站点，提高了这些网站的访问量，给骇客带来了非法的经济利益。“初始页”变种byo还会与其释放的病毒文件实现进程守护，从而增加了用户和杀毒软件在查杀时的难度，提高了病毒自身的生存几率。同时，“初始页”变种byo及其释放的病毒文件会定时地弹出恶意广告网页或窗口，不仅给骇客带来了经济利益，还严重地影响了系统的运行速度，干扰了用户对计算机的正常操作，使得用户受到更多不同程度的侵扰。另外，“初始页”变种byo还会自动连接骇客指定的URL“http://if***w.com/a.txt”，并根据其中的地址下载恶意程序至本地并调用运行，致使被感染计算机用户遭受更多的安全威胁。

英文名称：Trojan/PSW.WOW.i
中文名称：“魔兽贼”变种i
病毒长度：44612字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.WOW.i“魔兽贼”变种i是“魔兽贼”木马家族中的最新成员之一，采用Delphi编写，是一个由其它恶意程序释放出来的DLL功能组件。“魔兽贼”变种i是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序，会由其它恶意程序将其插入到“explorer.exe”及其所有用户级权限的进程中加载运行。在被感染系统后台秘密监视所运行的程序，如果发现“魔兽世界”进程的存在，便会利用消息钩子和内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“QQ游贼”变种hz12.11预警
江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQGame.hz“QQ游贼”变种hz和TrojanDropper.Agent.qhx“代理木马”变种qhx值得关注。

英文名称：Trojan/PSW.QQGame.hz
中文名称：“QQ游贼”变种hz
病毒长度：16384字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQGame.hz“QQ游贼”变种hz是“QQ游贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。该病毒是一个专门盗取“QQ自由幻想”网络游戏账号信息的木马程序，会被插入到“explorer.exe”及其所有用户级子进程中加载运行，运行后会检查自身所属进程是否为“QQffo.exe”。当发现自身所属进程确为“QQffo.exe”时，则通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级，甚至是密码保护资料等信息，之后会在后台将窃取到的玩家机密信息发送到骇客指定的远程站点上，致使网络游戏玩家的账号信息等丢失，遭受不同程度的财产损失。

英文名称：TrojanDropper.Agent.qhx
中文名称：“代理木马”变种qhx
病毒长度：5632字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.qhx“代理木马”变种qhx是“代理木马”木马家族中的最新成员之一，采用高级语言编写，经过花指令保护处理。“代理木马”变种qhx运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意驱动程序“antisg.sys”，并且通过创建服务“antisg”来实现木马的加载。该驱动文件的主要目的是为了破坏“地下城与勇士”、“QQ三国”等游戏的保护功能，破坏成功之后，“代理木马”变种qhx便会删除之前所创建的病毒文件和系统服务并退出运行，以销声匿迹。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“斯莱德”变种12.12预警
江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.p“斯莱德”变种p和Trojan/PSW.GamePass.ahhb“网游大盗”变种ahhb值得关注。

英文名称：Trojan/Slefdel.p
中文名称：“斯莱德”变种p
病毒长度：754688字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.p“斯莱德”变种p是“斯莱德”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种p运行后，会自我复制到被感染计算机系统的“%CommonProgramFiles%\Microsoft Shared\MSInfo”目录下，并重新命名为“R_Server.exe”。同时，在被感染计算机中创建系统服务，以实现木马的开机自启动。“斯莱德”变种p在被感染计算机系统中安装完毕后，会通过启动服务的方式来激活自身副本，并在系统目录下创建批处理文件“Deleteme.bat”，以达到删除自我、消除痕迹的目的。副本被激活后，会首先创建IE浏览器进程并将自身代码注入其中运行，之后会将副本的原始进程结束，从而实现更深层次的隐蔽运行，防止被用户和杀毒软件轻易地发现和查杀。在后台尝试连接骇客指定的远程站点“125.*.*.77:800”，致使被感染计算机成为骇客恣意侵害的肉鸡。骇客利用“斯莱德”变种p可以远程对被感染计算机进行任意操作，其中包括“文件操作”、“注册表操作”、“屏幕监控”、“键盘监听”、“鼠标控制”，甚至是“摄像头抓图”等，对计算机用户的个人隐私和信息安全造成了严重的侵犯，甚至还可能会导致商业机密的泄露，使用户遭受更大的损失。另外，骇客还能向被感染计算机发送大量的恶意软件，使得被感染计算机用户面临更多不同程度的威胁。

英文名称：Trojan/PSW.GamePass.ahhb
中文名称：“网游大盗”变种ahhb
病毒长度：28672字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GamePass.ahhb“网游大盗”变种ahhb是“网游大盗”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放出来的DLL功能组件。“网游大盗”变种ahhb运行后，会解密所需要的重要API函数和链接库名称，并将“%SystemRoot%\system32\WS2_32.dll”复制到被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下，重新命名为“ztfast_32.dll”，以方便自身调用。“网游大盗”变种ahhb是一个专门盗取“天龙八部”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，一旦发现带有“天龙八部”字样的窗口，便会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器中，致使游戏账号等信息丢失，给网游玩家带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    5、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    6、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    7、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    8、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“毒素”变种12.13预警
江民今日提醒您注意：在今天的病毒中Trojan/PSW.Element.k“毒素”变种k和Trojan/PSW.QQShou.ic“QQ秀”变种ic值得关注。

英文名称：Trojan/PSW.Element.k
中文名称：“毒素”变种k
病毒长度：25088字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Element.k“毒素”变种k是“毒素”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“毒素”变种k运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒文件“sh17017.exe”并调用运行。“sh17017.exe”运行后，会释放恶意驱动文件“antisg.sys”至“%SystemRoot%\system32\”目录下，并通过创建系统服务来加载该驱动程序。该驱动的主要目的是破坏“地下城与勇士”等腾讯公司网游的保护功能，破坏成功之后，“sh17017.exe”便会将释放的驱动和创建的系统服务删除并退出运行，以达到销声匿迹的目的。“毒素”变种k本身则是一个专门盗取网游“地下城与勇士”会员账号的木马程序，会在被感染计算机的后台查找是否存在指定的游戏进程。如果发现这些进程的存在，则会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“毒素”变种k还会强行篡改系统hosts文件，以阻止对一些游戏官方网站的访问。

英文名称：Trojan/PSW.QQShou.ic
中文名称：“QQ秀”变种ic
病毒长度：17576字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.ic“QQ秀”变种ic是“QQ秀”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0 MFC”编写，并且经过加壳保护处理。“QQ秀”变种ic运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时，还会在该目录下释放其它的附属模块。修改注册表启动项，以实现木马开机后的自动运行。在被感染计算机后台遍历当前系统中运行着的进程，如果发现某些指定的安全软件存在时，就会尝试将其结束，以达到自我保护的目的。“QQ秀”变种ic是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序，会在被感染计算机的后台秘密监视QQ的登陆窗口，然后利用键盘钩子、内存截取或封包截取等技术盗取账户信息，并在后台将窃取到的信息发送到骇客指定的邮箱中，致使感染该木马的QQ用户蒙受不同程度的财产损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“水浒大盗”变种12.14预警
江民今日提醒您注意：在今天的病毒中Trojan/PSW.SHQZ.b“水浒大盗”变种b和Trojan/StartPage.bym“初始页”变种bym值得关注。

英文名称：Trojan/PSW.SHQZ.b
中文名称：“水浒大盗”变种b
病毒长度：28672字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.SHQZ.b“水浒大盗”变种b是“水浒大盗”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“水浒大盗”变种b是一个专门盗取“水浒Q传”网络游戏会员账号的木马程序，会被注入到“explorer.exe”及其所有用户级权限的进程中加载运行。运行后在系统后台对指定进程进行监视，如果发现指定程序的运行，便会通过键盘钩子截获网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://www.wom***age.cn/biyi1/mail.asp”上，致使网游玩家游戏账号及其相关信息丢失，从而给游戏玩家造成不同程度的财产损失。另外，“水浒大盗”变种b还会在被感染计算机中自我注册为系统服务，实现木马开机后的自动运行。

英文名称：Trojan/StartPage.bym
中文名称：“初始页”变种bym
病毒长度：9728字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.bym“初始页”变种bym是“初始页”木马家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“初始页”变种bym运行时，会强行篡改系统注册表，将IE浏览器默认首页设置为某搜索引擎。同时，关闭、禁用“Windows安全中心”和“Windows防火墙”，降低了被感染计算机的安全性。在后台连接骇客指定的站点，下载名为“antivirus2009”的木马并强行安装。该木马会将自身伪装成杀毒软件，弹出虚假信息提示用户的计算机被病毒感染，在后台下载大量的恶意程序到被感染的系统中，致使计算机面临着极大的安全威胁和风险。另外，骇客还指定了许多其它的下载地址，不仅起到了更好的传播效果，还给不法分子谋取不正当利益提供了更多途径。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“克隆先生”变种12.15预警
江民今日提醒您注意：在今天的病毒中Packed.Klone.jy“克隆先生”变种jy和Trojan/PSW.Tibia.lu“Tibia游贼”变种lu值得关注。

英文名称：Packed.Klone.jy
中文名称：“克隆先生”变种jy
病毒长度：385024字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Klone.jy“克隆先生”变种jy是“克隆先生”木马家族中的最新成员之一，采用Delphi编写，并且经过加壳保护处理。“克隆先生”变种jy运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，并重新命名为“saber.exe”。自我注册为系统服务，以此实现木马的开机自启动。“克隆先生”变种jy安装完毕后，会在“%SystemRoot%\system32\”下创建“Deleteme.bat”以将病毒原始程序删除，从而到达消除痕迹、隐藏自我的目的。“克隆先生”变种是一个功能强大的木马服务端。运行后，会创建“Winlogon”进程并自我注入其中隐蔽运行。在后台不断连接骇客指定站点，如果连接成功，就会接收骇客的恶意控制指令，使得被感染计算机成为任人控制的傀儡主机。骇客可通过“克隆先生”变种jy对被感染计算机进行任意操控，其中包括文件操作、进程控制、注册表操作、屏幕监控、键盘监听、摄像头抓图、鼠标控制等，严重的侵犯了用户的信息安全和个人隐私，甚至还可能对商业机密造成无法估量的损失。同时，骇客还可能利用“克隆先生”变种jy向被感染计算机传送大量的病毒、木马等恶意程序，从而使得用户面临更大程度的安全威胁。

英文名称：Trojan/PSW.Tibia.lu
中文名称：“Tibia游贼”变种lu
病毒长度：375838字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Tibia.lu“Tibia游贼”变种lu是“Tibia游贼”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“Tibia游贼”变种lu运行后，会通过调用系统命令的方式自我复制到被感染计算机系统的“%USERPROFILE%\「开始」菜单\程序\启动\”目录下，重新命名为“lsass.exe”，以此实现木马的开机自动运行。“Tibia游贼”变种lu是一个专门盗取风靡欧洲的“Tibia”网络游戏会员账号的木马程序，会在被感染计算机系统的后台秘密监视运行着的所有应用程序的窗口标题，一旦发现“Tibia”的窗口存在，便会利用内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、物品、金钱等丢失，给游戏玩家造成不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

“卡布虫”变种12.16预警
江民今日提醒您注意：在今天的病毒中Worm/Kapucen.r“卡布虫”变种r和Trojan/PSW.Moshou.aur“魔兽”变种aur值得关注。

英文名称：Worm/Kapucen.r
中文名称：“卡布虫”变种r
病毒长度：106496字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Kapucen.r“卡布虫”变种r是“卡布虫”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“卡布虫”变种r运行后，会自我复制到被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下，重新命名为“svchost.exe”。通过在注册表启动项中添加键值的方式，实现蠕虫的开机自动运行。遍历被感染计算机的C到G驱动器，搜索有效的网络共享文件夹。如果发现存在“.RAR”和“.ZIP”扩展名的压缩文件，则会将自身任意命名为“Setup.exe”、“Install.exe”或“_Run_Me_First.exe”，写入所发现的压缩文件中，实现网络共享传播。另外，该蠕虫不会进行重复感染，某些情况下会将被感染的压缩文件复制到其它目录中并重命名为“<原压缩文件名> updated-fixed Release <系统月>-<系统年>.rar”。

英文名称：Trojan/PSW.Moshou.aur
中文名称：“魔兽”变种aur
病毒长度：26476字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Moshou.aur“魔兽”变种aur是“魔兽”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“魔兽”变种aur运行后，会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下释放恶意DLL文件“textfont.dat”和“LPK.dll”，并将真正的系统文件“%SystemRoot%\system32\LPK.dll”复制到临时文件夹，并重新命名为“LOOPARK.dat”。“魔兽”变种aur所释放的组件“textfont.dat”是一个专门盗取“传奇2”网络游戏会员账号的木马程序，会被插入到“explorer.exe”及其所有的用户级权限的进程中加载运行。运行后会通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“魔兽”变种aur运行后还会在后台监视系统中正在运行的所有进程，一旦发现某些杀软的监控存在便直接退出运行，不会进行木马释放等一系列后续操作。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。