江民科技 每日病毒播报

north_wolf

江民科技2月23日病毒播报：“代理木马”变种和“小不点”变种

英文名称：TrojanDownloader.Agent.cbnq
中文名称：“代理木马”变种cbnq
病毒长度：139264字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：d8b576dbdb38ac95e95a44b9bf7f9e82
特征描述：
    TrojanDownloader.Agent.cbnq“代理木马”变种cbnq是“代理木马”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，其图标会被设置成文件夹样式，以此增强迷惑性。“代理木马”变种cbnq运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下分别释放恶意组件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。强行篡改被感染系统中的注册表项，致使IE在启动后会自动访问骇客指定的站点“http://www.77*34.net”。在被感染系统的后台遍历除系统盘以外的所有分区，然后将这些分区根目录下的文件夹设置为“系统、只读、隐藏”属性，同时生成与被隐藏文件夹同名的“.exe”文件（图标被设置成文件夹样式），以此诱骗用户点击。用户在点击运行后，“代理木马”变种cbnq会自动打开与之同名的文件夹，从而蒙蔽了用户。“代理木马”变种cbnq运行时，会在被感染系统的后台连接骇客指定的站点“http://202.102.*.116/files/”和“http://www.down1*80.com/maindll/”，分别下载恶意程序“pipi_211_115.exe”和“flymy.dll”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的页面“http://www.si*m.com/cpa/lin.asp?cpname=&ver=&sname=&user=&netid=&hardid=”，以此对被感染系统进行数量统计。另外，“代理木马”变种cbnq会通过在被感染系统注册表中添加键值“csiddll”和“EyeOnIE Class”的方式实现开机自启。

英文名称：TrojanDownloader.Small.aqge
中文名称：“小不点”变种aqge
病毒长度：28160字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：e97bcfd945abac14030c99b669a8a646
特征描述：
    TrojanDownloader.Small.aqge“小不点”变种aqge是“小不点”家族中的最新成员之一，采用“delphi”编写，经过加壳保护处理。“小不点”变种aqge运行时，会在被感染系统的后台连接骇客指定的站点“http://61.152.*.81:1024/d6/x.asp?ttl=414746&v=MDkxMDA5&s=MDAwQzI5QUE3Njcx&n=Q09ERVJVSS1YODY%3D&d=”、“http://61.152.*.81:1024/d6/c13ca.asp?k=ZGxsMDk1Ng”，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“小不点”变种aqge会通过将恶意代码注入到IE浏览器进程中的方式隐秘运行，以此绕过监控软件的监视。另外，“小不点”变种aqge在安装完毕后会通过创建批处理文件的方式将自身删除，以此消除痕迹。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技2月24日病毒播报：“初始页”变种和“魔兽贼”变种

英文名称：Trojan/StartPage.ewr
中文名称：“初始页”变种ewr
病毒长度：32768字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：42a5fc345d1f63a076210b569d83d178
特征描述：
    Trojan/StartPage.ewr“初始页”变种ewr是“初始页”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。该木马的图标会被设置成RAR压缩包样式，以此达到欺骗用户的目的。“初始页”变种ewr运行后，会弹出标题为“安装程序解压缩数据错误，按确定退出安装！”的窗口。当用户点击“确定”按钮后，该木马的安装程序会将自我删除，以此消除痕迹。“初始页”变种ewr会在系统“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下创建恶意脚本文件“y2.jse”并调用运行。通过IE弹窗的方式访问网页“http://wwv.c*3.net/index2.htm”，以此达到增加指定站点访问量的目的。删除IE浏览器的桌面图标，之后会伪造IE浏览器快捷方式，以此实现诱骗用户点击运行的目的。通过这个快捷方式启动的IE浏览器会自动访问“http://wvw.39*16.com/?x05”、“http://wvw.17*82.com/?x05”或“http://wvw.63*16.com/?x05”这些站点，从而给骇客带来了非法的经济利益。“初始页”变种ewr还会破坏“自定义桌面”中的“IE浏览器”桌面图标设置，致使用户无法再重新创建IE浏览器桌面图标。“初始页”变种ewr会通过结束并重新运行“explorer.exe”的方式达到刷新桌面图标的目的。另外，其还会删除某些安全软件的桌面图标。

英文名称：Trojan/PSW.WOW.cqi
中文名称：“魔兽贼”变种cqi
病毒长度：85504字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6fd42dee4893d0f24db1d833fc9a8ad0
特征描述：
    Trojan/PSW.WOW.cqi“魔兽贼”变种cqi是“魔兽贼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“魔兽贼”变种cqi是一个专门盗取“梦幻西游”网络游戏会员账号的木马程序，其会随网络游戏“梦幻西游”一同启动运行后。“魔兽贼”变种cqi运行后，会首先确认自身是否已经插入到“explorer.exe”和游戏进程“my.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“魔兽贼”变种cqi会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技2月25日病毒播报：“网游窃贼”变种bgdf和“垃圾客”变种av

英文名称：Trojan/PSW.OnLineGames.bgdf
中文名称：“网游窃贼”变种bgdf
病毒长度：11264字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：472c3e2d1cd60b7cdd103bff5a382425
特征描述：
    Trojan/PSW.OnLineGames.bgdf“网游窃贼”变种bgdf是“网游窃贼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“网游窃贼”变种bgdf是一个专门盗取“地下城与勇士DNF”网络游戏会员账号的木马程序，运行后会首先确认自身是否已经插入到游戏进程“dnf.exe”中。如果已经插入其中，则会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点“http://www.ty*88.cn/mails.asp?suser=%s&spass=%s&serial=%s&sernum=%s&level=%d&level25=%d&money=%d&line=%s&lines=%s&flag=%s、http://www.yt*88.cn/news1013_8/rod/mailsmit.asp?suser=%s&spass=%s&serial=%s&sernum=%s&level=%d&level25=%d&money=%d&line=%
s&lines=%s&flag=%s”上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。“网游窃贼”变种bgdf会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Trojan/Larchik.av
中文名称：“垃圾客”变种av
病毒长度：7168字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：22010702b3c6503e2bb016b983ae3ee2
特征描述：
    Trojan/Larchik.av“垃圾客”变种av是“垃圾客”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理，是某恶意软件集合中的功能组件。“垃圾客”变种av运行后，会在被感染系统的后台尝试使用“PING”命令来判断网络是否联通。如果处于联通状态则继续执行后续操作。“垃圾客”变种av会在被感染系统的后台调用IE浏览器，然后利用其进程“iexplore.exe”去访问骇客指定的远程站点“http://www.33*e.com/tongji/g.asp?mac=”，以此达到统计被感染计算机数量的目的。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技2月26日病毒播报：“视频宝宝”变种uxn和“HTML使者”变种aaj
英文名称：TrojanDownloader.VB.uxn
中文名称：“视频宝宝”变种uxn
病毒长度：24576字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6384ace7a99c43a83f702407153e79fe
特征描述：
    TrojanDownloader.VB.uxn“视频宝宝”变种uxn是“视频宝宝”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“视频宝宝”变种uxn运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下重新命名为“explor.exe”。在被感染系统中定时弹出恶意广告站点“http://www5.tit*n24.com”（该站点的内容为随机的“体育新闻”，其可能包含网页木马等，会给存在漏洞的系统造成不同程度的安全隐患），以此提高这些恶意站点的访问量，给骇客带来了非法的经济利益，严重地影响和干扰了用户的正常操作。另外，其会访问骇客指定的页面“http://www.wintech*iitm.com/tong6666.asp”，以此对被感染计算机进行数量统计。“视频宝宝”变种uxn会通过在被感染系统“启动”文件夹中创建自身副本的方式实现开机自启。

英文名称：TrojanDownloader.HTML.aaj
中文名称：“HTML使者”变种aaj
病毒长度：1549字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：0ac6eecab96ed3340f8577c5b3056cfb
特征描述：
    TrojanDownloader.HTML.aaj“HTML使者”变种aaj是“HTML使者”家族中的最新成员之一，采用“HTML”语言编写。当用户访问了已嵌入“HTML使者”变种aaj的网页后，页面上会显示出如下的提示内容“You must Download and Run Video Controller Object to play this video file.”。如果用户点击该提示信息，便会下载指定的恶意程序“http://c*l-exe-file.com/onlinemovies.40000.exe”，由此可能会遭受更多其它的侵害。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技2月27日病毒播报：“反启杀手”变种hm和“代理木马”变种cbb

英文名称：Trojan/AntiHeur.hm
中文名称：“反启杀手”变种hm
病毒长度：41472字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：123122b91ad1c10cf27a023b777011f3
特征描述：
    Trojan/AntiHeur.hm“反启杀手”变种hm是“反启杀手”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“反启杀手”变种hm运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“AMNCZw74h8gwd6CpYGkrZDy8.inf”，文件属性设置为“系统、隐藏、只读、存档”。遍历当前系统中所有正在运行的进程，一旦发现指定的安全软件存在便会尝试将其结束，从而达到自我保护的目的。“反启杀手”变种hm会将释放的恶意DLL组件“AMNCZw74h8gwd6CpYGkrZDy8.inf”插入到几乎所有的用户级权限的进程中加载运行，以此防止被轻易地查杀。“反启杀手”变种hm是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序，其会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“反启杀手”变种hm会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：TrojanClicker.Agent.cbb
中文名称：“代理木马”变种cbb
病毒长度：24661字节
病毒类型：木马点击器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：2d2c58d643ccaedd2b1ef22b3c2bd6e4
特征描述：
    TrojanClicker.Agent.cbb“代理木马”变种cbb是“代理木马”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“代理木马”变种cbb运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。在被感染系统的后台检索注册表项，秘密获取例如防火墙、IE默认首页、杀毒软件、系统版本、MAC地址、IP、系统软件等信息，然后加密并提交到骇客指定的站点。在被感染系统中定时弹出恶意广告窗口（随机从“http://www.leileikuai.cn/welcome.php?k=”、“http://www.szhaokan.cn/welcome.php?k=”、“http://www.kankanhaoba.cn/welcome.php?k=”、“http://www.pppp123456.cn/welcome.php?k=”中选择一个），严重地干扰了用户的正常操作。另外，“代理木马”变种cbb还会在被感染系统的后台秘密访问站点“http://www.go2000.com/?4”，以此增加该站点的访问量。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技2月28日病毒播报：“灰鸽子”变种aodp和“小不点”变种aqgf

英文名称：Backdoor/Huigezi.aodp
中文名称：“灰鸽子”变种aodp
病毒长度：116736字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：f5ebf0b2f28fc5549242e489dc24aaa9
特征描述：
    Backdoor/Huigezi.aodp“灰鸽子”变种aodp是“灰鸽子”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“灰鸽子”变种aodp运行后会自我复制到被感染系统的指定文件夹下重新命名保存。“灰鸽子”变种aodp属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程服务器“58.42.*.83:2526”，获取远程控制端真实地址“114.139.*.160:2526”，然后侦听骇客发送的指令。该后门具有远程监视、控制等功能，可以对被感染系统中存储的文件进行任意操作。监视用户的键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等，还可以窃取、修改或删除用户计算机中存放的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。系统一旦感染了“灰鸽子”变种aodp，便会成为骇客的傀儡主机。骇客利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等，从而造成更大的危害。另外，“灰鸽子”变种aodp会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：TrojanDownloader.Small.aqgf
中文名称：“小不点”变种aqgf
病毒长度：4096字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：523f2833c646fc6ba13c7bc36326e401
特征描述：
    TrojanDownloader.Small.aqgf“小不点”变种aqgf是“小不点”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“小不点”变种aqgf运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。“小不点”变种aqgf运行时，会在被感染系统的后台连接骇客指定的远程站点“http://d.dj*yl.cn:2311/conn.asp?uid=c03”，获取恶意程序下载列表，然后下载恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的页面“http://d.02*pm.cn:8299/count.asp?uid=c03&address=000C29AA7671000000000000&p=1&a=25”，以此来对被感染系统进行数量统计。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月1日病毒播报：“邪恶基因”变种jhd和“尼拉葛”变种dmu
英文名称：TrojanDownloader.Genome.jhd
中文名称：“邪恶基因”变种jhd
病毒长度：24576字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6e6d5c9570a4b8c15fb2757c52d0319c
特征描述：
    TrojanDownloader.Genome.jhd“邪恶基因”变种jhd是“邪恶基因”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“邪恶基因”变种jhd运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。“邪恶基因”变种jhd会在被感染系统的后台定时访问指定的站点“http://sports.ya*o550.com/image/logo.jpg?queryid=80074”，以此提高这些站点的访问量（网络排名），给骇客带来了非法的经济利益，严重地干扰了用户的正常操作。另外，“邪恶基因”变种jhd还会占用大量的系统资源，因此会降低系统的运行速度。“邪恶基因”变种jhd可能具有木马下载器的功能，其会在被感染系统的后台下载恶意程序并自动调用运行，从而给被感染系统用户造成了不同程度的威胁。

英文名称：Trojan/PSW.Nilage.dmu
中文名称：“尼拉葛”变种dmu
病毒长度：89600字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：e53a85f3532fbcd03f236431ba91a275
特征描述：
    Trojan/PSW.Nilage.dmu“尼拉葛”变种dmu是“尼拉葛”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“尼拉葛”变种dmu是一个专门盗取“R2”网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），给游戏玩家造成了不同程度的损失。另外，“尼拉葛”变种dmu会通过在被感染系统注册表启动项中添加键值，以此实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月2日病毒播报：“初始页”变种ck和“Trojan/PSW.Delf”变种ehm

英文名称：TrojanDropper.StartPage.ck
中文名称：“初始页”变种ck
病毒长度：32768字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：a1637eb4fe09430ab829bf3d5070e0bf
特征描述：
    Trojan/StartPage.ck“初始页”变种ck是“初始页”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。该木马的图标会被设置成RAR压缩包样式，以此达到欺骗用户的目的。“初始页”变种ck运行后，会弹出标题为“安装程序解压缩数据错误，按确定退出安装！”的窗口。当用户点击“确定”按钮后，该木马的安装程序会将自我删除，以此消除痕迹。“初始页”变种ck会在系统“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下创建恶意脚本文件“y2.jse”并调用运行。通过IE弹窗的方式访问网页“http://wwv.c*3.net/index2.htm”，以此达到增加指定站点访问量的目的。删除IE浏览器的桌面图标，之后会伪造IE浏览器快捷方式，以此诱骗用户点击运行。通过这个快捷方式启动的IE浏览器会自动访问“http://wvw.06*98.com/?x05”、“http://wvw.32*87.com/?x05”或“http://wvw.51*50.com/?x05”这些站点，从而给骇客带来了非法的经济利益。“初始页”变种ck还会破坏“自定义桌面”中的“IE浏览器”桌面图标设置，致使用户无法再重新创建IE浏览器桌面图标。“初始页”变种ck会通过结束并重新运行“explorer.exe”的方式达到刷新桌面图标的目的。另外，其还会删除某些安全软件的桌面图标。

英文名称：Trojan/PSW.Delf.ehm
中文名称：“Trojan/PSW.Delf”变种ehm
病毒长度：46516字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：283cea247f4da1fbe0431f166d8abad0
特征描述：
    Trojan/PSW.Delf.ehm“Trojan/PSW.Delf”变种ehm是“Trojan/PSW.Delf”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理，是一个由其它恶意程序释放出来的DLL功能组件。“Trojan/PSW.Delf”变种ehm是一个专门盗取“问道”网络游戏会员账号的木马程序，其会随网络游戏“问道”一同启动运行。该木马运行后，会首先确认自身是否已经插入到桌面程序进程“explorer.exe”和游戏进程“asktao”中。如果已经插入其中，则会利用内存截取技术窃取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点“http://www.7*8b.com/Card/Mail.asp?UserName=&Password=&Pcname=888”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“Trojan/PSW.Delf”变种ehm会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月3日病毒播报：“X疙瘩”变种aq和“塞沃斯”变种cb
英文名称：TrojanDownloader.Xanda.aq
中文名称：“X疙瘩”变种aq
病毒长度：24425字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：d2121a2ba665d1100ad7a4bfb536c604
特征描述：
    TrojanDownloader.Xanda.aq“X疙瘩”变种aq是“X疙瘩”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“X疙瘩”变种aq运行后，会在被感染系统的后台执行命令“taskkill /f /im rstray.exe”，以此试图关闭某安全软件的进程，从而达到自我保护的目的。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下重新命名为“bts32.exe”。同时，还会在系统“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“bts32.dll”（文件信息经过伪装），并将其注册为BHO，以此实现随IE浏览器一同加载运行的目的。删除“IE浏览器桌面图标”，然后在当前桌面上创建一个仿冒的“IE浏览器快捷方式”。通过该快捷方式启动的IE会自动打开骇客指定的站点“www.d*007.net.cn”，从而增加了其访问量。“X疙瘩”变种aq会在被感染系统的后台连接骇客指定的站点“http://97f*ihu.com/”，下载恶意程序“download3.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的网页地址“http://20099qq.com.cn/?shouye?ma ... -218-252-25&ver=1.0”，以此对被感染系统进行数量统计。“X疙瘩”变种aq会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。另外，其安装程序在运行完毕后会自我删除，以此达到消除痕迹的目的。

英文名称：TrojanDownloader.Selvice.cb
中文名称：“塞沃斯”变种cb
病毒长度：24576字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：7c05b335045d6f3bf26b19a0b0584490
特征描述：
    TrojanDownloader.Selvice.cb“塞沃斯”变种cb是“塞沃斯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“塞沃斯”变种cb木马下载器的安装程序在安装完毕后，会通过创建批处理文件并在后台调用的方式将自身删除，以此消除痕迹。“塞沃斯”变种cb运行后，会在被感染系统的后台尝试使用“PING”命令来判断网络是否联通。如果联通则继续执行后面的操作。“塞沃斯”变种cb运行时，会在被感染系统的后台连接骇客指定的远程站点“http://www.del*tall-wz.com.cn”，下载恶意程序“/sports/image.jpg、/news/image.jpg、/files/image.jpg、/nba/image.jpg”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月4日病毒播报：“代理木马”变种cbuq和“灰鸽子”变种aonf
英文名称：TrojanDownloader.Agent.cbuq
中文名称：“代理木马”变种cbuq
病毒长度：102458字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：1e57bdf7501cd8c4e75ccd1bec51b740
特征描述：
    TrojanDownloader.Agent.cbuq“代理木马”变种cbuq是“代理木马”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。该木马是一个由其它恶意程序释放出来的DLL功能组件，一般会被插入到被感染系统的“explorer.exe”和“iexplore.exe”进程中隐秘运行。“代理木马”变种cbuq会在被感染系统的后台连接骇客指定的站点“http://down.yi*he.me/ad/”，下载恶意程序“server_ie.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“代理木马”变种cbuq会在被感染系统的后台下载指定的配置文件“http://down.yi*he.me/ie.txt”、“http://down.yi*he.me/lianwang.txt”，然后根据其中的设置执行相应的恶意操作。另外，其会访问骇客指定的页面“http://down.yi*he.me/tj2.php?addr=”，以此对被感染系统进行数量统计。另外，“代理木马”变种cbuq会通过在被感染系统注册表启动项中添加键值的方式实现开机自启动。

英文名称：Backdoor/Huigezi.aonf
中文名称：“灰鸽子”变种aonf
病毒长度：689176字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：93867aeb78284c3c9e0e37fa2ba4d2ba
特征描述：
    Backdoor/Huigezi.aonf“灰鸽子”变种aonf是“灰鸽子”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。其图标会被设置成图片文件的样式，从而达到诱骗用户点击运行的目的。“灰鸽子”变种aonf运行后，会自我复制到被感染系统的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下，重新命名为“360SD.exe”，以此实现开机自启。“灰鸽子”变种aonf属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的站点“http://rj*058.3322.org”，获取远程控制端真实地址，然后侦听骇客的指令，从而实现远程控制。该后门具有远程监视、控制等功能，可对被感染系统中存储的文件进行任意操作。监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可以窃取、修改或删除用户计算机中存放的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。另外，感染“灰鸽子”变种aonf的系统还会成为骇客的傀儡主机。骇客利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。