江民科技 每日病毒播报

north_wolf

江民科技3月5日病毒播报：“邪恶基因”变种jhm和“小不点”变种aqjo

英文名称：TrojanDownloader.Genome.jhm
中文名称：“邪恶基因”变种jhm
病毒长度：126976字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：176c4fe0f7b92e41d512e8415df5672c
特征描述：
    TrojanDownloader.Genome.jhm“邪恶基因”变种jhm是“邪恶基因”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“邪恶基因”变种jhm运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下分别释放恶意组件“iccy450.dll”、“taoba_1.dll”、“cpa_1.exe”。强行篡改被感染系统的注册表项，致使IE浏览器启动后自动访问骇客指定的站点“http://www.48*50.cn/”。在被感染系统的后台遍历除系统盘以外的所有盘符，将分区根目录下文件夹的属性设置为“系统、只读、隐藏”，同时生成一个与被隐藏文件夹同名的“.exe”文件（图标为文件夹样式），以此诱骗用户点击运行。“邪恶基因”变种jhm会在被感染系统的后台连接骇客指定的站点“http://202.102.*.116/files/”和“http://www.down12*80.com/maindll/”，下载恶意程序“pipi_211_115.exe”和“flymy.dll”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。其会访问骇客指定的页面“http://www.si*nm.com/cpa/lin.asp?cpname=&ver=&sname=&user=&netid=&hardid=”，以此对被感染系统进行数量统计。另外，“邪恶基因”变种jhm会在被感染系统注册表中添加键值“csiddll”和“EyeOnIE Class”，以此实现开机自启。

英文名称：TrojanDownloader.Small.aqjo
中文名称：“小不点”变种aqjo
病毒长度：28672字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：c27048888e2637182a711d5ce1609fea
特征描述：
    TrojanDownloader.Small.aqjo“小不点”变种aqjo是“小不点”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理，属于某恶意程序集合中的功能组件。“小不点”变种aqjo运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。在被感染系统的后台检索注册表项，秘密获取例如防火墙、IE默认首页、杀毒软件、系统版本、MAC地址、IP、系统软件等系统信息，然后加密并通过网络提交。在被感染系统的后台调用IE浏览器进程，秘密访问站点“http://61.152.*.81/d6/x.asp?ttl=3806731&v=MDkxMDA5&s=MDAwQzI5QUE3Njcx&n=Q09ERVJVSS1YODY%3D&d=”，以此增加该站点的访问量。另外，“小不点”变种aqjo可能具有木马下载器的功能。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月6日病毒播报：“初始页”变种evj和“易扣”变种ak

英文名称：Trojan/StartPage.evj
中文名称：“初始页”变种evj
病毒长度：98304字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：52e056ed7db16db989bb52e3329acffb
特征描述：
    Trojan/StartPage.evj“初始页”变种evj是“初始页”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“初始页”变种evj运行后，会在被感染系统的后台执行命令“taskkill /f /im rstray.exe”，以此试图关闭某安全软件。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“bt32.exe”。同时，还会在系统“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“bt32.dll”（文件信息经经过伪装），并将其注册为BHO，从而实现随IE浏览器的启动自动运行的目的。删除“IE浏览器桌面图标”，然后在当前桌面上创建一个仿冒的“IE浏览器快捷方式”。通过该快捷方式启动的IE会自动打开骇客指定的站点“http://www.ku5*5.com/”，从而增加了其访问量。“初始页”变种evj会在被感染系统的后台连接骇客指定的远程站点“http://97fe*hu.com/”，下载恶意程序“download3.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的URL“http://www.ku5*5.com/conn/count.asp?mac=2-4-10-140-58-119-94-66-62-218-252-25&ver=1.0”，以此对被感染系统进行数量统计。“初始页”变种evj会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。其安装程序在运行完毕后会自我删除，以此达到消除痕迹的目的。

英文名称：Trojan/PSW.Ecode.ak
中文名称：“易扣”变种ak
病毒长度：847872字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：2abdd84299644c1546c3e2e1bcf9f372
特征描述：
    Trojan/PSW.Ecode.ak“易扣”变种ak是“易扣”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“易扣”变种ak运行后，会自动弹出一个高度仿真的“腾讯QQ2009版即时聊天工具”的登陆界面。如果用户在这个假冒的登陆窗口中输入了账号、密码并且点击了“登录”，那么用户所输入的账号及密码将被发送至骇客指定的站点“http://www.qq99*55.com/neex/qqpost.asp?qqnumber=&qqpassword=”上，致使被感染系统用户的QQ账号信息失窃。“易扣”变种ak可以通过下载网站、论坛附件、邮件附件或QQ文件在线传输等多种手段进行传播，在此提醒各位用户务必留意防范。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月7日病毒播报：“X疙瘩”变种ak和“密室大盗”变种bj

英文名称：TrojanDownloader.Xanda.ak
中文名称：“X疙瘩”变种ak
病毒长度：24265字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：102eca316ffe81ea9a02e0dcb7d4e2ea
特征描述：
        TrojanDownloader.Xanda.ak“X疙瘩”变种ak是“X疙瘩”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“X疙瘩”变种ak运行后，会在被感染系统的后台执行命令“taskkill /f /im rstray.exe”，以此试图关闭某安全软件。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“bcttqqc32.exe”。还会在系统“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“bcttqqc32.dll”（文件信息经过伪装），并将其注册为IE浏览器辅助对象BHO，以此达到随IE浏览器的启动而自动运行的目的。删除“IE浏览器桌面图标”，然后在当前桌面上创建一个仿冒的“IE浏览器快捷方式”。通过该快捷方式启动的IE会自动打开骇客指定的站点“http://www.365*odh.cn”，从而增加了其访问量。“X疙瘩”变种ak会在被感染系统的后台连接骇客指定的站点“http://97f*ihu.com/”，下载恶意程序“download3.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的网页地址“http://www.365*odh.cn/tj/xiaohui/e5/count.asp?mac=2-4-10-140-58-119-94-66-62-218-252-25&ver=1.0”，以此对被感染系统进行数量统计。“X疙瘩”变种ak会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。另外，其安装程序在运行完毕后会自我删除，以此达到消除痕迹的目的。

英文名称：Trojan/PSW.Kykymber.bj
中文名称：“密室大盗”变种bj
病毒长度：13612字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：3cf7bd7bcda49458e7a509b0e8f7df39
特征描述：
    Trojan/PSW.Kykymber.bj“密室大盗”变种bj是“密室大盗”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“密室大盗”变种bj是一个专门盗取“QQ三国”网络游戏会员账号的木马程序，其会在后台秘密监视用户系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“密室大盗”变种bj会通过添加注册表启动项的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月8日病毒播报：“灰鸽子”变种apbs和“代理木马”变种aevs

英文名称：Backdoor/Huigezi.apbs
中文名称：“灰鸽子”变种apbs
病毒长度：623616字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：ccbff78c2ff1db372bd476c93ccb9207
特征描述：
    Backdoor/Huigezi.apbs“灰鸽子”变种apbs是“灰鸽子”家族中的最新成员之一，采用“delphi”编写，经过加壳保护处理。“灰鸽子”变种apbs运行后，会自我复制到被感染系统的“%SystemRoot%\”和“\Program Files\Common Files\Microsoft Shared\MSInfo\”文件夹下，重新命名为“syning.exe”。将恶意代码注入到新启动的“iexplore.exe”进程中隐秘运行，防止被轻易地发现。“灰鸽子”变种apbs属于反向连接后门，其会在被感染系统的后台连接骇客指定的远程站点“66.33.*.95:80”，获取远程控制端真实地址，然后侦听指令，从而实现了被远程控制的目的。该后门具有远程监视、控制等功能，可以对被感染系统中存储的文件进行任意操作。监视用户的一举一动，如键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等，还可以窃取、修改或删除用户计算机中存放的机密信息，从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“灰鸽子”变种apbs的计算机还会成为骇客的傀儡主机，骇客利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等。另外，“灰鸽子”变种apbs会通过在被感染计算机中注册系统服务的方式实现开机自启。

英文名称：TrojanDropper.Agent.aevs
中文名称：“代理木马”变种aevs
病毒长度：30224字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：e8a7ab159f8a30a9e6622e39c6f9aecc
特征描述：
    TrojanDropper.Agent.aevs“代理木马”变种aevs是“代理木马”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“代理木马”变种aevs运行后，会在被感染系统的“%SystemRoot%\Tasks\”文件夹下释放恶意DLL组件“Wfayv6njQnCsg.inf”（文件属性设置为“系统、隐藏、只读、存档”）和配置文件“pPuSpm4tUTwyj3JpjJV.ico”。释放完成后，其会将自身删除，以此消除痕迹。“代理木马”变种aevs是一个专门盗取“大话西游 II”网络游戏会员账号的木马程序，其会在后台秘密监视用户系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“代理木马”变种aevs会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月9日病毒播报：“垃圾客”变种bk和“斑点儿”变种rpv

英文名称：Trojan/Larchik.bk
中文名称：“垃圾客”变种bk
病毒长度：7168字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6c67b193d66502f9f33297633b1c1327
特征描述：
    Trojan/Larchik.bk“垃圾客”变种bk是“垃圾客”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“垃圾客”变种bk运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。“垃圾客”变种bk会在被感染系统的后台调用IE浏览器进程（利用防火墙的白名单机制躲避拦截），然后利用该进程去秘密访问骇客指定的远程站点“http://www.ty*8.com/tongji/g.asp?mac=&id=”，以此对被感染系统进行数量统计。“垃圾客”变种bk属于某恶意程序集合中的功能组件。如果感染此病毒，则说明当前计算机系统中还感染了其它的病毒程序。“垃圾客”变种bk的主安装程序在执行完毕后会将自我删除，以此达到了消除痕迹的目的。

英文名称：TrojanDownloader.Banload.rpv
中文名称：“斑点儿”变种rpv
病毒长度：54272字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：f5c6335ea1707786ad61d19b8e8774ed
特征描述：
    TrojanDownloader.Banload.rpv“斑点儿”变种rpv是“斑点儿”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“斑点儿”变种rpv运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。“斑点儿”变种rpv会在被感染系统的后台连接骇客指定的远程站点“http://www.bo*tr.com/files/”，下载恶意程序“1791726_3n4jn/RelocsCorporation.exe”、“1791582_os4fh/modulo.exe”等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月10日病毒播报：“小不点”变种aqmh和“玛格尼亚”变种agnm

英文名称：TrojanDownloader.Small.aqmh
中文名称：“小不点”变种aqmh
病毒长度：18944字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：102db137bd618f4a0eb626720a84b34f
特征描述：
    TrojanDownloader.Small.aqmh“小不点”变种aqmh是“小不点”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“小不点”变种aqmh运行后，会自我复制到被感染系统的“%SystemRoot%\”文件夹下，重新命名为“ThunderUpdate.exe”（其文件描述会伪装成“迅雷相关更新程序”，以此增强自身的迷惑性）。强行篡改注册表相关键值，致使用户系统中的“显示系统隐藏文件”功能失效。“小不点”变种aqmh运行时，会在被感染系统的后台连接骇客指定的远程服务器“218.60.*.196:1106”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的URL“http://www.5*sm.com/reques0.asp?kind=021&mac=00-0C-29-AA-76-71&key=;8r3y6J6w5vw0”，以此对被感染系统进行数量统计。“小不点”变种aqmh会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Trojan/PSW.Magania.agnm
中文名称：“玛格尼亚”变种agnm
病毒长度：25088字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：bef8f26dda32cd1908d932b3b789ba63
特征描述：
    Trojan/PSW.Magania.agnm“玛格尼亚”变种agnm是“玛格尼亚”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“玛格尼亚”变种agnm是一个专门盗取“冒险岛”网络游戏会员账号的木马程序，其会随网络游戏“冒险岛”一同启动运行。“玛格尼亚”变种agnm运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“maplestory.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点“www.xi*007.com/zhuzhu/dlmxd.asp?”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“玛格尼亚”变种agnm会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月11日病毒播报：“初始页”变种eyg和“魔兽贼”变种cwr

英文名称：Trojan/StartPage.eyg
中文名称：“初始页”变种eyg
病毒长度：40960字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：381032e13b682272ad13d9e66c943aef
特征描述：
    Trojan/StartPage.eyg“初始页”变种eyg是“初始页”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“初始页”变种eyg运行后，会获取被感染系统的注册表信息，从而判断是否安装了某安全软件。一旦发现安装了该软件便会自动退出运行，以此达到躲避查杀的目的。“初始页”变种eyg会强行篡改系统注册表中的相关项，设置IE浏览器的默认主页为骇客指定的站点“http://9*g.info:1188/1.html?cid=a-0220”，致使用户在打开IE浏览器后便会自动连接到该站点，以此增加了其访问量，给骇客带来了非法的经济利益。“初始页”变种eyg在特定的情况下，会在当前用户的系统桌面上创建如下的快捷方式：“傲游浏览器2.lnk”、“腾讯tt.lnk”、“internet explorer.url”、“百度.url”、“google.url”、“淘宝.url”、“电影.url”、“游戏.url”、“健康mm网.url”，用户如果运行了这些快捷方式便会自动访问指定的站点，从而增加了这些站点的访问量。

英文名称：Trojan/PSW.WOW.cwr
中文名称：“魔兽贼”变种cwr
病毒长度：632836字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：934b378b57db2c94e5341750dd7d835d
特征描述：
    Trojan/PSW.WOW.cwr“魔兽贼”变种cwr是“魔兽贼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“魔兽贼”变种cwr是一个专门盗取“梦幻西游”网络游戏会员账号的木马程序，其会随网络游戏“梦幻西游”一同启动运行。“魔兽贼”变种cwr运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“my.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放在配置文件“%SystemRoot%\system32\t320078.ini”中），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“魔兽贼”变种cwr会在被感染系统注册表启动项中添加键值，以此实现盗号木马的开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月12日病毒播报：“网游窃贼”变种“埃德罗”变种ijy

英文名称：Trojan/PSW.OnLineGames.bmey
中文名称：“网游窃贼”变种bmey
病毒长度：11264字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：be84323fc445cf58613f0b4ec3fc113b
特征描述：
    Trojan/PSW.OnLineGames.bmey“网游窃贼”变种bmey是“网游窃贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“网游窃贼”变种bmey是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序，运行后会首先确认自身是否已经插入到游戏进程“wow.exe”中。如果已经插入其中，则会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点“http://kqs.iwillh*es*yg*ls.com/wow/wow.asp?us=%s&ps=%s&lv=%d&qu=%s&se=%s”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，其会访问骇客指定的URL“http://kqs.iwillh*es*yg*ls.com/aion/aion.asp?wowid=%s&wu=%s&wp=%s&area=%s&sys=%s”，以此对被感染系统进行数量统计。“网游窃贼”变种bmey会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：TrojanDownloader.Adload.ijy
中文名称：“埃德罗”变种ijy
病毒长度：61440字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6d0ebe823a510a1382b7ea03a769fa2e
特征描述：
    TrojanDownloader.Adload.ijy“埃德罗”变种ijy是“埃德罗”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“埃德罗”变种ijy运行时，会在被感染系统的后台连接骇客指定的URL“http://www.renren1*80.com/maindll/softsize.asp”，读取配置文件，然后根据其中的设置下载安装其它恶意程序。其所下载的恶意程序可能为远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“埃德罗”变种ijy会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月13日病毒播报：“斑点儿”变种abfs和“代理木马”变种ccla

英文名称：TrojanDownloader.Banload.abfs
中文名称：“斑点儿”变种abfs
病毒长度：35182字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：e8ffed9e299c8fea1aa38fc6588f6ee5
特征描述：
    TrojanDownloader.Banload.abfs“斑点儿”变种abfs是“斑点儿”家族中的最新成员之一，采用“Borland Delphi 5.0”编写，经过加壳保护处理。“斑点儿”变种abfs运行后，会自我复制到被感染系统的“%SystemRoot%\”文件夹下，重新命名为“ashDisp.scr”（将自身伪装成“屏幕保护程序”的后缀名，将自身图标伪装成“IE浏览器”样式，以此增强自身的迷惑性）。“斑点儿”变种abfs运行时，会在被感染系统的后台连接骇客指定的远程站点“http://www.dns001.x*g.com.br/docs/”，读取配置文件“leimame.txt”，然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。另外，“斑点儿”变种abfs会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：TrojanDownloader.Agent.ccla
中文名称：“代理木马”变种ccla
病毒长度：72704字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：45d3df69315b0d3701ac2030b92261fa
特征描述：
    TrojanDownloader.Agent.ccla“代理木马”变种ccla是“代理木马”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“代理木马”变种ccla是一个专门盗取“武林外传”网络游戏会员账号的木马程序，其会随网游“武林外传”一同启动运行。该盗号木马启动后会首先确认自身是否已经插入到系统桌面程序“explorer.exe”和游戏进程“elementclient.exe”中，如果已经插入其中则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。“代理木马”变种ccla会通过修改注册表启动项的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月14日病毒播报：“鞋匠”变种dj和“密室大盗”变种cc

英文名称：Trojan/Clicker.dj
中文名称：“鞋匠”变种dj
病毒长度：32768字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：f3659d63f7297c07e06484683600f916
特征描述：
    Trojan/Clicker.dj“鞋匠”变种dj是“鞋匠”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“鞋匠”变种dj的主程序会将文件属性中的公司信息进行伪装，以此增强自身的迷惑性。“鞋匠”变种dj会在被感染系统的后台调用IE浏览器进程（以此躲避防火墙的监视），然后利用该进程去秘密访问骇客指定的URL“http://www.39*73.cn/ad.htm”（目的是增加其访问量）。另外，其会访问骇客指定的URL“http://www.39*73.cn/tongji/g.asp?mac=00:0C:29:AA:76:71&id=admin2”，以此对被感染系统进行数量统计。“鞋匠”变种dj会删除桌面上的IE浏览器图标，然后在桌面上创建一个假冒的IE浏览器快捷方式。当用户通过这个快捷方式启动IE浏览器后，会自动连接骇客指定的站点“http://www.07*7dy.com.cn/”，以此达到增加其访问量的目的。同时，“鞋匠”变种dj也会将快速启动栏中的IE快捷方式的指向设置成该站点。

英文名称：Trojan/PSW.Kykymber.cc
中文名称：“密室大盗”变种cc
病毒长度：13228字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：c0662c0c677f678878e02c8bc091223d
特征描述：
    Trojan/PSW.Kykymber.cc“密室大盗”变种cc是“密室大盗”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。该木马是一个由其它恶意程序释放出来的DLL功能组件，一般会被插入到系统桌面程序“explorer.exe”等几乎所有的进程中隐秘运行。同时会在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。“密室大盗”变种cc是一个专门盗取“征途”网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“密室大盗”变种cc会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。