江民科技 每日病毒播报

north_wolf

江民科技3月15日病毒播报：“小不点”变种aqiq和“魔兽贼”变种cwp

英文名称：TrojanDownloader.Small.aqiq
中文名称：“小不点”变种aqiq
病毒长度：23552字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：c798913b034d1f27a49280a418564b09
特征描述：
    TrojanDownloader.Small.aqiq“小不点”变种aqiq是“小不点”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“小不点”变种aqiq会将自身的扩展名设置成“.scr”（屏幕保护程序的扩展名），文件图标设置成卡通样式，以此诱骗用户点击运行。“小不点”变种aqiq会在被感染系统的后台通过尝试连接GOOGLE的方式判断网络是否连通，之后会在被感染系统的后台连接骇客指定的远程站点“http://illge*athere.com/exes/msn_file.php?getf=imsn&routine=download&jump=true&magnet=1&core=1&zoom=1&unit=1&chinpin=bluengrey”获取恶意程序。这个站点做了特殊的处理，如使用IE等进行下载请求，则返回的并不是真实的病毒程序，而是一个用VB编写的自删除程序。该木马所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。当这些被下载的病毒运行后，“小不点”变种aqiq会在被感染系统的后台连接骇客指定的远程站点“http://img.123gre*ings.com/eventsnew/friend_funny/1029-025-18-1068.gif?&ntlk=ntlk09oh53oh”，下载图片“joke.gif”并打开。该图片会显示一个吐舌头的卡通小丑等。另外，“小不点”变种aqiq的主程序在安装完毕后会将自我删除，以此达到消除痕迹的目的。

英文名称：Trojan/PSW.WOW.cwp
中文名称：“魔兽贼”变种cwp
病毒长度：73216字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：2094555e96d9ba9d63eaf21782b20ad4
特征描述：
    Trojan/PSW.WOW.cwp“魔兽贼”变种cwp是“魔兽贼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放的DLL功能组件，经过加壳保护处理。“魔兽贼”变种cwp是一个专门盗取“完美国际”网络游戏会员账号的木马程序，其会随网络游戏“完美国际”一同启动运行。该木马运行后，会首先确认自身是否已经插入到系统桌面程序“explorer.exe”和游戏进程“elementclient.exe”中。如果已经插入其中，则会利用内存截取技术窃取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“魔兽贼”变种cwp会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

kaikai760

1星和2星的- -

north_wolf

江民科技3月16日病毒播报：“吸金者”变种n和“循环毒器”变种b

英文名称：Trojan/PSW.Eruwbi.n
中文名称：“吸金者”变种n
病毒长度：104448字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：2a19c761039ddce91413cff6a60afeb8
特征描述：
    Trojan/PSW.Eruwbi.n“吸金者”变种n是“吸金者”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“吸金者”变种n会将程序的图标伪装成“Windows Media Player”样式，以此诱骗用户点击运行。“吸金者”变种n运行以后，会自动弹出一个“如果出现安全提示，请点击允许操作即可正常安装。”的对话框。在被感染系统的“%SystemRoot%\system32\”文件夹下释放图标文件“qm_71538_com.ico”、“t_58816_com.ico”、“life_74443_com.ico”、“www_meinvly_com.ico”、“bg_71538_com.ico”和“nr.71538.com.ico”，在“USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“\Documents and Settings\All Users\「开始」菜单\程序\”和“%USERPROFILE%\”下创建大量IE浏览器快捷方式，还会在“%USERPROFILE%\Favorite”下创建“精彩小游戏.url”，“美女乐园.url”，“美女视频.url”，“女人世界.url”，“淘宝购物.url”，“网址大全.url”，“言情小说.url”和“创业投资好项目.url”等大量Internet快捷方式，从而引导用户访问上述站点，为这些网站增加了访问量。“吸金者”变种n在执行完以上操作后会弹出“安装终止！”的对话框。用户点击“确定”后，“吸金者”变种n会自动运行IE浏览器并连接到不良网站。“吸金者”变种n一般会通过下载网站、论坛附件、邮件附件或QQ文件在线传输等多种手段进行传播，请用户在上网时务必提高警惕留心防范。

英文名称：TrojanDownloader.Liwak.b
中文名称：“循环毒器”变种b
病毒长度：32768字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：cc1d1ad4145d6dcc0a3f08824e608c9d
特征描述：
    TrojanDownloader.Liwak.b“循环毒器”变种b是“循环毒器”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“循环毒器”变种b运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。之后原病毒程序会将自身删除，以此消除痕迹。“循环毒器”变种b运行时，会在被感染系统的后台定时启动IE浏览器进程，打开骇客指定的URL“http://fc.fjh*ghui.cn:1024/d6/x.asp?ttl=490184&v=MDkxMDA5&s=MDAwQzI5QUE3Njcx&n=Q09ERVJVSS1YODY%3D&d=”，下载其它恶意程序并自动调用运行。如果网络连接失败，该病毒会不断地启动IE浏览器，直至系统资源被耗尽。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月17日病毒播报：“代理木马”变种djll和“BHO劫持者”变种ro

英文名称：Trojan/Agent.djll
中文名称：“代理木马”变种djll
病毒长度：9717字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：fc4f234cc0be057df8a9767ce48e2405
特征描述：
    Trojan/Agent.djll“代理木马”变种djll是“代理木马”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“代理木马”变种djll运行后，会将系统组件“%SystemRoot%\system32\ksuser.dll”备份为“%SystemRoot%\system32\sksuser.dll”。之后会关闭系统对“ksuser.dll”的文件保护，并用新生成的病毒文件替换“ksuser.dll”和“%SystemRoot%\system32\dllcache\ksuser.dll”，从而以此种方式实现了自启动的目的。替换完成后，原病毒程序会将自身删除，以此达到消除痕迹的目的。“代理木马”变种djll是一个专门盗取“征途”网络游戏会员账号的木马程序，其会随网络游戏“征途”一同启动运行。“代理木马”变种djll运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“zhengtu.dat”中。如果已经插入其中，则会利用内存截取技术窃取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点“http://dh6.h001.8*s.net/xxx/post.asp、http://dh6.h001.8*s.net/xxx/79877817/post.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：Adware/BHO.ro
中文名称：“BHO劫持者”变种ro
病毒长度：295035字节
病毒类型：广告程序
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：de27f0a45bfe7713abf94bc15f5ecf58
特征描述：
    Adware/BHO.ro“BHO劫持者”变种ro是“BHO劫持者”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“BHO劫持者”变种ro运行后，可能会在被感染系统的“%SystemRoot%\Administrator\Application Data\snav\”文件夹下创建配置文件“addrlib.dat”。“BHO劫持者”变种ro运行时，会强行将IE浏览器的默认主页设置为骇客指定站点，以此给骇客带来了非法的经济利益。另外，“BHO劫持者”变种ro会通过在被感染系统中将自身注册为BHO（Browser Helper Object，浏览器辅助对象）的方式实现随IE浏览器的启动而加载运行的目的。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月18日病毒播报：“密匪”变种a和“密室大盗”变种bn

英文名称：Trojan/PSW.Frethoq.a
中文名称：“密匪”变种a
病毒长度：6592字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：45a264e295628fc1f49117a8b5f8bc44
特征描述：
    Trojan/PSW.Frethoq.a“密匪”变种a是“密匪”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。该木马是一个由其它恶意程序释放出来的DLL功能组件，一般会被插入到系统桌面程序“explorer.exe”等几乎所有的进程中隐秘运行。“密匪”变种a会在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。“密匪”变种a是一个专门盗取“机战”和“魔域”网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视用户系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“密匪”变种a会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Trojan/PSW.Kykymber.bn
中文名称：“密室大盗”变种bn
病毒长度：34360字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：cf2c54da358fb1ac7d3824376775573f
特征描述：
    Trojan/PSW.Kykymber.bn“密室大盗”变种bn是“密室大盗”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“密室大盗”变种bn是一个专门盗取“QQ华夏”网络游戏会员账号的木马程序，其会随网络游戏“QQ华夏”一同启动运行。“密室大盗”变种bn运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“qqhxgame.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“密室大盗”变种bn会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月19日病毒播报：“小不点”变种aqmn和“魔兽贼”变种cxx

英文名称：TrojanDownloader.Small.aqmn
中文名称：“小不点”变种aqmn
病毒长度：20580字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：c0f4a10fc37921052ba881032ff1cd2d
特征描述：
    TrojanDownloader.Small.aqmn“小不点”变种aqmn是“小不点”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“小不点”变种aqmn运行后，会自我复制到被感染系统的“\Program Files\Microsoft Office\”文件夹下，重新命名为“svchost.exe”。在被感染系统的后台连接骇客指定的URL“http://g*zz.3322.org:88/gw.txt”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的URL“http://g*zz.3322.org:88/tj/count.asp?mac=00-0c-29-aa-76-71&ver=1.0”，以此对被感染系统进行数量统计。另外，“小不点”变种aqmn会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Trojan/PSW.WOW.cxx
中文名称：“魔兽贼”变种cxx
病毒长度：81920字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：d62e49b5ad80363e61f59fba8af8801a
特征描述：
    Trojan/PSW.WOW.cxx“魔兽贼”变种cxx是“魔兽贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“魔兽贼”变种cxx是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序，其会随网络游戏“魔兽世界”一同启动运行。“魔兽贼”变种cxx运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“wow.exe”中。如果已经插入其中，则会利用内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“魔兽贼”变种cxx会修改被感染系统注册表启动项，以此实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民江民科技3月20日病毒播报：“循环毒器”变种c和“垃圾客”变种ay

英文名称：TrojanDownloader.Liwak.c
中文名称：“循环毒器”变种c
病毒长度：32256字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：3ff5572514217f55433606723275d0f2
特征描述：
    TrojanDownloader.Liwak.c“循环毒器”变种c是“循环毒器”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“循环毒器”变种c运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。之后原病毒程序会将自我删除，以此消除痕迹。“循环毒器”变种c运行时，会在被感染系统的后台定时启动IE浏览器进程，自动连接骇客指定的URL“http://fc.fj*hui.cn:1024/d6/x.asp?ttl=490184&v=MDkxMDA5&s=MDAwQzI5QUE3Njcx&n=Q09ERVJVSS1YODY%3D&d=”，下载恶意程序并自动调用运行。如果网络连接失败，该木马会不断启动IE浏览器去访问该URL，从而严重地消耗了系统资源，致使系统出现死机等不稳定状况。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的威胁。

英文名称：Trojan/Larchik.ay
中文名称：“垃圾客”变种ay
病毒长度：7168字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：41d0fbaaac21f615c8e608bdc02fc319
特征描述：
    Trojan/Larchik.ay“垃圾客”变种ay是“垃圾客”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理，是某恶意程序集合中的功能组件。“垃圾客”变种ay运行后，会在被感染系统的后台尝试使用“PING”命令来判断网络是否连通。如果处于连通状态，则会继续执行后续操作。“垃圾客”变种ay会在被感染系统的后台调用IE浏览器，然后利用IE进程“iexplore.exe”去访问骇客指定的站点“http://www.3*ka.cn/tongji/g.asp?mac=&id=”，以此达到安装量统计的目的。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月21日病毒播报：“代理木马”变种djll和“初始页”变种eyv

英文名称：Trojan/Agent.djll
中文名称：“代理木马”变种djll
病毒长度：9717字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：fc4f234cc0be057df8a9767ce48e2405
特征描述：
    Trojan/Agent.djll“代理木马”变种djll是“代理木马”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“代理木马”变种djll会把系统文件“%SystemRoot%\system32\ksuser.dll”备份为“%SystemRoot%\system32\sksuser.dll”，然后关闭系统对“%SystemRoot%\system32\ksuser.dll”的保护，并用病毒文件去替换“%SystemRoot%\system32\ksuser.dll”和“%SystemRoot%\system32\DLLCache\ksuser.dll”，从而通过劫持系统文件的方式达到自启动的目的。文件替换完成后，原病毒程序会将自身删除，以此消除痕迹。“代理木马”变种djll是一个专门盗取网络游戏“征途”会员账号的木马程序，其会随“征途”一同启动运行。“代理木马”变种djll运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“zhengtu.dat”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的URL“http://dh6.h001.8*s.net/xxx/post.asp、http://dh6.h001.8*s.net/xxx/79877817/post.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：Trojan/StartPage.eyv
中文名称：“初始页”变种eyv
病毒长度：40960字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：2a023173e495f489f08ff736ce51e788
特征描述：
    Trojan/StartPage.eyv“初始页”变种eyv是“初始页”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“初始页”变种eyv运行后，会获取被感染系统的注册表信息，以此判断是否安装了某安全软件。如发现安装则会自动退出运行，以此达到躲避查杀的目的。“初始页”变种eyv会强行设置IE浏览器的默认主页为骇客指定的站点“http://91*.info:1188/1.html?cid=a-0223”，致使用户在打开IE浏览器后会自动访问该站点，以此增加了其访问量，给骇客带来了非法的经济利益。“初始页”变种eyv在某些情况下，可能会在当前用户的系统桌面上创建如下快捷方式：“傲游浏览器2.lnk”、“腾讯tt.lnk”、“internet explorer.url”、“百度.url”、“google.url”、“淘宝.url”、“电影.url”、“游戏.url”、“健康mm网.url”，从而引导用户进行访问。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月22日病毒播报：“网游窃贼”变种bmdf和“VBS傀儡”变种mj

英文名称：Trojan/PSW.OnLineGames.bmdf
中文名称：“网游窃贼”变种bmdf
病毒长度：63488字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：8a4153f874a7434c321a9b9898b2c700
特征描述：
    Trojan/PSW.OnLineGames.bmdf“网游窃贼”变种bmdf是“网游窃贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理，是一个由其它恶意程序释放出来的DLL功能组件。“网游窃贼”变种bmdf是一个专门盗取“天龙八部”网络游戏会员账号的木马程序，其会随“天龙八部”一同启动运行。“网游窃贼”变种bmdf运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“Game.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。同时，该木马还会弹出虚假的“账户安全维护”窗口，以此诱骗游戏玩家输入账号、密码等信息，从而以另一种方式达到窃取账户信息的目的。另外，“网游窃贼”变种bmdf会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Trojan/VBS.mj
中文名称：“VBS傀儡”变种mj
病毒长度：2812字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：2167186317d3962e8cea721312ea8ac9
特征描述：
    Trojan/VBS.mj是“VBS傀儡”家族中的最新成员之一，采用“VBS”脚本语言编写。“VBS傀儡”变种mj运行后，会在被感染系统的“%ALLUSERSPROFILE%\桌面”、“%SystemDrive%\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch”和“%SystemDrive%\Documents and Settings\AllUsers\「开始」菜单”文件夹下分别创建假冒的“腾讯TT浏览器”、“搜狗浏览器”、“世界之窗浏览器”、“遨游浏览器”、“360浏览器”快捷方式。“VBS傀儡”变种mj运行时，会强行设置被感染系统IE浏览器的默认主页为骇客指定站点“http://www.9*dh.com/?360”，致使用户在打开IE浏览器后便会自动访问该站点，从而增加了其访问量，给骇客带来了非法的经济利益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月23日病毒播报：“小不点”变种ehh和“魔兽贼”变种cws

英文名称：TrojanDropper/Small.ehh
中文名称：“小不点”变种ehh
病毒长度：218112字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：36591f23420fcf169c7857f8288cb3d9
特征描述：
    TrojanDropper/Small.ehh“小不点”变种ehh是“小不点”家族中的最新成员之一，采用VC 6编写，经过加壳保护处理。“小不点”变种ehh运行后，会在被感染系统的“%SystemRoot%\system32\”、“%SystemRoot%\system32\dllcache”文件夹下释放大量恶意组件，在“%SystemRoot%\system32\drivers”文件夹下释放恶意驱动文件，还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放其它的恶意文件。“小不点”变种ehh运行时，会将自身代码注入新建进程“hraq.exe”的内存空间中隐秘运行，同时执行恶意操作，以此隐藏自我，防止被轻易地查杀。“小不点”变种ehh会利用驱动还原被感染系统中的SSDT表（System Service Descriptor Table，系统服务描述表），致使大部分安全软件的监控与主动防御功能失效。同时还会试图结束这些安全软件的进程，从而达到了自我保护的目的。在被感染系统的后台连接骇客指定的站点“58.221.*.56”和“125.65.*.191”，获取恶意程序下载列表，然后下载文件中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“小不点”变种ehh还会强行设置IE浏览器的默认主页为骇客指定的站点“www.9*8.cn”，致使用户在打开IE浏览器后便会自动连接到该站点，从而增加了其访问量，给骇客带来了非法的经济利益。“小不点”变种ehh具有自动更新功能，其会根据骇客指定站点上的配置文件来决定自身是否需要更新。另外，“小不点”变种ehh会通过在被感染系统注册表启动项中添加键值的方式实现木马下载器的开机自启。

英文名称：Trojan/PSW.WOW.cws
中文名称：“魔兽贼”变种cws
病毒长度：88064字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：47468f52c626560e9004537e3a748360
特征描述：
    Trojan/PSW.WOW.cws“魔兽贼”变种cws是“魔兽贼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“魔兽贼”变种cws是一个专门盗取“梦幻西游”网络游戏会员账号的木马程序，其会随网络游戏“梦幻西游”一同启动运行。“魔兽贼”变种cws运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“my.exe”中。如果已经插入其中，则会利用内存截取技术窃取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“魔兽贼”变种cws会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。