江民科技 每日病毒播报

north_wolf

江民科技5月3日病毒播报：“恶推客”变种ebt和“VBS傀儡”变种jy

英文名称：Trojan/Pincav.ebt
中文名称：“恶推客”变种ebt
病毒长度：29240字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：86bd09e27da4150a24c66b1967e8846b
特征描述：
    Trojan/Pincav.ebt“恶推客”变种ebt是“恶推客”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“恶推客”变种ebt运行后，会将被感染系统“%SystemRoot%\system32\”文件夹下的“dsound.dll”重新命名为“dsound.dllOovUU”，之后在“%SystemRoot%\system32\”文件夹下释放恶意文件“dsound.dll.mod”，并将其重新命名为“dsound.dll”后分别复制到“%SystemRoot%\system32\”、“%SystemRoot%\system\”和“%SystemRoot%\system32\dllcache\”文件夹中。另外，其还会在“%SystemRoot%\system\”文件夹下释放恶意驱动程序“hQnmU.DRV”。释放完成后，原病毒程序会释放批处理程序并调用运行，以此消除痕迹。“恶推客”变种ebt是一个专门盗取“梦幻西游Online”会员账号的木马程序，其会将恶意代码注入到桌面进程中隐秘运行。“恶推客”变种ebt一旦发现用户打开指定的会员账户输入窗口，便会通过安装键盘钩子、鼠标钩子等方式截取用户的会员账号、密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使用户的账号丢失，给用户带来不同程度的损失。“恶推客”变种ebt还会定时访问指定的站点，以此提高这些网站的访问量，给骇客带来了非法的经济利益。

英文名称：Trojan/VBS.jy
中文名称：“VBS傀儡”变种jy
病毒长度：9942字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：c41d7f254ca9e3a4abb9f2df501cbbb5
特征描述：
    Trojan/VBS.jy“VBS傀儡”变种jy是“VBS傀儡”家族中的最新成员之一，采用“VBS”脚本语言编写。“VBS傀儡”变种jy运行后，会在被感染系统的IE收藏夹中添加“45575在线小游戏”、“九品高清网络电视”、“淘宝网”、“千千体育直播”、“易趣网”、“看看电视剧”等Internet快捷方式，诱导用户进行访问。在桌面上创建假冒的IE快捷方式，并将其主页设置为“www.55*dh.cn/?hk4”。通过该快捷方式启动的IE浏览器会自动访问该站点。其还会在桌面上创建“免费电影”、“千千体育直播”、“淘宝网今日打折特价区”、“超级好玩小游戏”等Internet快捷方式，从而以增加这些站点访问量的方式给骇客创造经济利益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技5月4日病毒播报：“埃卡”变种r和“视频宝宝”变种nrb

英文名称：TrojanDropper.Ekafod.r
中文名称：“埃卡”变种r
病毒长度：55296字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：6c67f051543539abcaabb0b0a500afef
特征描述：
    TrojanDropper.Ekafod.r“埃卡”变种r是“埃卡”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“埃卡”变种r运行后，会在被感染系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下分别释放恶意DLL组件“eodg3.dll”，还会在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“eodgt.dll”和“tata_1.dll”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“埃卡”变种r会遍历当前系统中运行的所有进程，如果发现某些指定的安全软件，便会尝试将其强行关闭，以此达到自我保护的目的。在被感染系统的后台连接骇客指定的远程站点“www.f*download.com”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

英文名称：TrojanDropper.VB.nrb
中文名称：“视频宝宝”变种nrb
病毒长度：23460字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：68e9cc21bb8404b434dc3268d2111fc9
特征描述：
    TrojanDropper.VB.nrb“视频宝宝”变种nrb是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种nrb运行后，会向被感染系统“%SystemRoot%\system32\”文件夹下的“dsound.dll”文件中加入恶意代码，并在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“d3de1_36.dll”、“d3de1_37.dll”和恶意程序“dllms.exe”，在“%SystemRoot%\system32\dllcache\”文件夹下释放“dsound.dll”、“ddraw.dll”、“dsound.dllcDXDj”。“视频宝宝”变种nrb运行时，会在被感染系统的后台连接骇客指定的站点“stt.dsd*wewe.com”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技5月5日病毒播报：“塞沃斯”变种dp和“霸族”变种fsc

英文名称：TrojanDownloader.Selvice.dp
中文名称：“塞沃斯”变种dp
病毒长度：28672字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：0077551f282abe1e4cb8d94522434b8d
特征描述：
    TrojanDownloader.Selvice.dp“塞沃斯”变种dp是“塞沃斯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“塞沃斯”变种dp运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“KMMs.dll”（其会通过将自身注册为BHO的方式实现自启）、恶意程序“acsavlz.exe”和批处理程序“rickko.bat”、“uwvbzdi.bat”，还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“wgwmz.sys”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“塞沃斯”变种dp运行时，会强行设置被感染系统IE浏览器的默认主页为骇客指定站点“http://www.9*8.cn/?205425”，致使用户在打开IE浏览器后便会自动连接至该站点，从而给骇客带来了非法的经济利益。在桌面和IE收藏夹中创建指向指定站点的Internet快捷方式，从而诱骗系统用户访问这些站点。篡改系统hosts文件，利用域名映像劫持特性屏蔽站点“qup.f.360.cn”，从而干扰指定安全软件的相关功能，以此达到了自我保护的目的。“塞沃斯”变种dp还会连接骇客指定的站点“119.38.*.226”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

英文名称：Trojan/Buzus.fsc
中文名称：“霸族”变种fsc
病毒长度：96256字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：025efd29e53e5e5a9322bc75bf947f12
特征描述：
    Trojan/Buzus.fsc“霸族”变种fsc是“霸族”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“霸族”变种fsc运行后，会自我复制到被感染系统的“%programfiles%\Common Files\”文件夹下，重新命名为“SysLive.exe”。其还会在“%USERPROFILE%”文件夹下释放恶意驱动程序“lxwwv.drv”，以及在系统盘根目录下释放“autorun.inf”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。后台遍历系统中运行的所有进程，如果发现某些指定的安全软件存在，“霸族”变种fsc便会尝试将其强行关闭，以此达到自我保护的目的。另外，“霸族”变种fsc会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技5月6日病毒播报：“牧童”变种bov和“通犯”变种jt

英文名称：TrojanDropper.Mudrop.bov
中文名称：“牧童”变种bov
病毒长度：39656字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：01373c4e247685a75dd3e8cfc38dc090
特征描述：
    TrojanDropper.Mudrop.bov“牧童”变种bov是“牧童”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“牧童”变种bov运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“kav.exe”、“acdnfe.dat”，在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放“5507500aT.exe”，在“Program Files\1en0v0\”文件夹下释放恶意DLL组件“One.dll”。另外，其还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“One.sys”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。后台遍历系统中运行的所有进程，如果发现某些指定的安全软件存在，“牧童”变种bov便会尝试将其强行关闭，以此达到自我保护的目的。秘密连接骇客指定的站点“222.216.*.201”，侦听骇客指令，然后在被感染系统中执行相应的恶意操作。骇客可通过“牧童”变种bov完全远程控制被感染的计算机系统，从而给用户的信息安全、个人隐私甚至是商业机密造成无法挽回的损失。另外，“牧童”变种bov会通过在被感染系统注册表启动项中添加键值的方式实现木马的开机自启。

英文名称：Trojan/Generic.jt
中文名称：“通犯”变种jt
病毒长度：205105字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：5be353adddc59e782dcc1fb36df5fc3e
特征描述：
    Trojan/Generic.jt“通犯”变种jt是“通犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“通犯”变种jt运行时，会秘密连接指定的站点“66.228.*.102”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作，致使被感染系统成为骇客的傀儡主机。骇客通过“通犯”变种jt可以完全远程控制被感染的计算机系统，从而使被感染系统用户的信息安全和个人隐私等遭受严重的侵害。另外，“通犯”变种jt会通过在被感染系统注册表启动项中添加键值的方式来实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技5月7日病毒播报：“变异体”变种bjb和“DDoS攻击者”变种dy

英文名称：TrojanDownloader.Geral.bjb
中文名称：“变异体”变种bjb
病毒长度：13312字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：60bca81445b75e69bff4204ee74fcd8c
特征描述：
    TrojanDownloader.Geral.bjb“变异体”变种bjb是“变异体”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“变异体”变种bjb运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意程序“OneG4042921.exe”，同时会在桌面上创建名为“改变你的一生”的Internet快捷方式，从而诱导被感染系统用户访问指定的站点。“变异体”变种bjb运行时，会强行设置IE浏览器的默认主页为骇客指定站点“http://www.le*444.com/?54”，致使用户在打开IE浏览器后便会自动对其进行访问，从而给骇客带来了非法的经济利益。“变异体”变种bjb会在被感染计算机系统的后台连接骇客指定的远程站点“http://a.acde.x*p.cn/good/”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的URL“http://ll*off.8866.org:99/tj/19/count.asp”，以此对被感染系统进行数量统计。

英文名称：Trojan/DDoS.dy
中文名称：“DDoS攻击者”变种dy
病毒长度：33284字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：3aebab769daebd634d4b07551afc5e48
特征描述：
    Trojan/DDoS.dy“DDoS攻击者”变种dy是“DDoS攻击者”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“DDoS攻击者”变种dy运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下重新命名。之后原病毒程序会将自身删除，以此消除痕迹。“DDoS攻击者”变种dy运行时，会在被感染系统的后台连接骇客指定的远程站点“121.14.*.15”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会通过创建名为“fhddos Service ”的服务的方式，实现木马的开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技5月8日病毒播报：“恶推客”变种eoc和“异鬼”变种bsl

英文名称：Trojan/Pincav.eoc
中文名称：“恶推客”变种eoc
病毒长度：77312字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：c5b593d3a06c0aaaa0e833cf6818a37e
特征描述：
    Trojan/Pincav.eoc“恶推客”变种eoc是“恶推客”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“恶推客”变种eoc运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“prx.dll”、“jpv.dll”和恶意程序“system.exe”，还会在“%USERPROFILE%\Local Settings\Temp\”、“%SystemRoot%\system\”和“%SystemRoot%\”文件夹下释放大量恶意程序。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“恶推客”变种eoc会将释放的恶意DLL组件“jpv.dll”插入到系统桌面程序“explorer.exe”等几乎所有的进程中加载运行，并在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。在被感染系统的后台连接骇客指定的远程站点“208.98.*.90”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“恶推客”变种eoc会在开始菜单“启动”文件夹中添加名为“system.exe”的快捷方式，以此实现相关木马程序的开机自启。

英文名称：Trojan/Cosmu.bsl
中文名称：“异鬼”变种bsl
病毒长度：121344字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：8ffd5f1389112678eddfd78030e956fc
特征描述：
    Trojan/Cosmu.bsl“异鬼”变种bsl是“异鬼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“异鬼”变种bsl运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“mnmsrvc.exe”。其还会在“%SystemRoot%\system32\”文件夹下释放恶意ActiveX控件“MSWINSCK.OCX”。释放完成后，原病毒程序会创建批处理程序“a.bat”并调用运行，以此消除痕迹。另外，“异鬼”变种bsl会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技5月9日病毒播报：“密匪”变种dn和“代理”变种csf

英文名称：Trojan/PSW.Frethoq.dn
中文名称：“密匪”变种dn
病毒长度：817152字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：aefe6560a7f8e5e63cb3ff84001c59b8
特征描述：
    Trojan/PSW.Frethoq.dn“密匪”变种dn是“密匪”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“密匪”变种dn运行后，会在其所在的文件夹下释放恶意程序“bbs.exe”并调用运行。将“%SystemRoot%\system32\”文件夹下的“ksuser.dll”重新命名为“aksuser.dll”，之后会在“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下释放假冒的系统文件“ksuser.dll”（文件属性设置为“只读、隐藏”），以此实现自启动。另外，其还会在“%SystemRoot%\system32\”文件夹下释放恶意程序“abc.dll”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“密匪”变种dn是一个专门盗取“大明龙权Online”网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视正在运行的所有应用程序的窗口标题。一旦发现指定程序正在运行，便会通过键盘钩子、内存截取或封包截取等技术盗取游戏玩家输入的账号、密码等信息，并在后台将窃得的信息发送到骇客指定的服务器上（地址加密存放），致使游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：TrojanClicker/Agent.csf
中文名称：“代理”变种csf
病毒长度：127字节
病毒类型：木马点击器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：c3c8db8478528dfacba1b4df426741a5
特征描述：
    TrojanClicker/Agent.csf“代理”变种csf是“代理”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“代理”变种csf运行后，会在被感染系统的“%SystemRoot%\”文件夹下释放恶意程序“IFinst27.exe”。其还会在“%programfiles%”文件夹下释放其它大量的恶意文件，这些恶意文件可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“代理”变种csf运行时，会在被感染系统的后台访问骇客指定的页面。这些页面通常包含网页木马，如果访客的系统存在某些漏洞，便会遭受更多恶意程序的侵害。另外，“代理”变种csf会在开始菜单“启动”文件夹下添加名为“syncsup”的快捷方式（指向恶意程序“syncsup.exe”），以此实现相关程序的自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技5月10日病毒播报：“QQ大盗”变种csv和“VBS傀儡”变种jy

英文名称：Trojan/QQPass.csv
中文名称：“QQ大盗”变种csv
病毒长度：80896字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：680d03b4ef38a58d06ec733a43a3f16e
特征描述：
    Trojan/QQPass.csv“QQ大盗”变种csv是“QQ大盗”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“QQ大盗”变种csv运行后，会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“95.tmp”。另外，其还会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“evbqq.dll”、“qhncc.dll”和“vxxljyyf.dat”（文件名随机）。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“QQ大盗”变种csv会遍历系统中运行的所有进程，一旦发现某些安全软件正在运行，便会尝试将其结束，从而增加了被感染系统所面临的风险。“QQ大盗”变种csv会将“vxxljyyf.dat”插入到“explorer.exe”等几乎所有的进程中隐秘运行，以此防止被轻易地查杀。“QQ大盗”变种csv属于反向连接木马程序，其会在被感染系统的后台连接骇客指定的远程站点“61.133.*.67”，获取远程控制端的IP地址，然后侦听骇客指令，从而达到被骇客远程控制的目的。该木马具有远程监视、控制等功能，可以对被感染系统中存储的文件进行任意操作。其还会监视用户的键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等，从而对用户的个人隐私甚至是商业机密构成了严重的威胁。骇客还可以利用被感染系统对指定站点发动DDoS攻击、洪水攻击等，从而给互联网造成了更大的威胁。

英文名称：Trojan/VBS.jy
中文名称：“VBS傀儡”变种jy
病毒长度：9942字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：c41d7f254ca9e3a4abb9f2df501cbbb5
特征描述：
    Trojan/VBS.jy“VBS傀儡”变种jy是“VBS傀儡”家族中的最新成员之一，采用“VBS”脚本语言编写。“VBS傀儡”变种jy运行后，会在被感染系统的IE收藏夹和桌面上添加“45575在线小游戏”、“九品高清网络电视”、“淘宝网”、“千千体育直播”、“易趣网”、“看看电视剧”、“免费电影”、“千千体育直播”、“淘宝网今日打折特价区”、“超级好玩小游戏”等Internet快捷方式，诱导用户进行访问。其还会在桌面上创建指向“www.55*dh.cn/?hk4”的IE快捷方式，通过其启动的IE浏览器会自动访问该站点，从而给骇客带来了非法的经济利益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技5月11日病毒播报：“入侵者”变种ae和“多面杀手”变种kw

英文名称：Trojan/Invader.ae
中文名称：“入侵者”变种ae
病毒长度：78336字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：0c322141c7bae92579b541c816187aff
特征描述：
    Trojan/Invader.ae“入侵者”变种ae是“入侵者”家族中的最新成员之一，采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“入侵者”变种ae运行后，会将自身复制到“%SystemRoot%\system32\”文件夹下，重新命名为“system.exe”。另外，还会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“nkq.dll”、“gcc.dll”。将释放的恶意DLL组件“gcc.dll”插入到系统桌面程序“explorer.exe”等几乎所有的进程中加载运行，并在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。“入侵者”变种ae会在后台连接骇客指定的远程站点“72.8.*.66”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会在开始菜单“启动”文件夹下添加名为“system”的快捷方式（指向“system.exe”），以此实现木马的开机自启。

英文名称：Trojan/Autoit.kw
中文名称：“多面杀手”变种kw
病毒长度：628262字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：1622532ab1ccf126570279834bc092b3
特征描述：
    Trojan/Autoit.kw“多面杀手”变种kw是“多面杀手”家族中的最新成员之一，采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“多面杀手”变种kw运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意脚本程序“monitor.jse”。之后，其会将“monitor.jse”复制到“%programfiles%\ICBC\”文件夹下，重新命名为“Winrar.w”。释放完成后，原病毒程序会将自我删除，以此消除痕迹。“多面杀手”变种kw会在桌面上创建一个假冒的IE浏览器快捷方式，通过这个快捷方式启动的IE浏览器会自动连接骇客指定的站点“http://www.go*000.com/?g9”，从而增加了其访问量，给骇客带来了非法的经济利益。另外，其会通过修改注册表的方式隐藏桌面的某些图标。另外，“多面杀手”变种kw会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技5月12日病毒播报：“视频宝宝”变种nrb和“变异体”变种bfd

英文名称：TrojanDropper.VB.nrb
中文名称：“视频宝宝”变种nrb
病毒长度：23460字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：68e9cc21bb8404b434dc3268d2111fc9
特征描述：
    TrojanDropper.VB.nrb“视频宝宝”变种nrb是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种nrb运行后，会在被感染系统“%SystemRoot%\system32\”文件夹下的“dsound.dll”文件中加入恶意代码。另外，还会在“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下分别释放“d3de1_36.dll”、“d3de1_37.dll”、“dllms.exe”、“dsound.dll”、“ddraw.dll”、“dsound.dllcDXDj”这些恶意文件。“视频宝宝”变种nrb运行时，会在被感染系统的后台连接骇客指定的站点“stt.dsd*wewe.com”，获取恶意程序下载列表，然后下载其中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

英文名称：TrojanDownloader.Geral.bfd
中文名称：“变异体”变种bfd
病毒长度：977920字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：08231aa001474141f7bc425b8758b808
特征描述：
    TrojanDownloader.Geral.bfd“变异体”变种bfd是“变异体”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种bfd运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“secSYS.dll”和“SYS.dll”，在“%SystemRoot%\”文件夹下释放“NtFile.exe”，并将以上文件的属性设置为“隐藏”。另外，还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“pcidump.sys”，并且删除“%SystemRoot%\system32\drivers\etc”文件夹下的hosts文件。“变异体”变种bfd运行时，会在被感染计算机系统的后台连接骇客指定的站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的威胁。另外，其会通过创建名为“IPRIP”的服务的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。