江民科技 每日病毒播报

north_wolf

江民科技3月24日病毒播报：“BHO劫持者”变种jli和“密室大盗”变种bv

英文名称：Trojan/BHO.jli
中文名称：“BHO劫持者”变种jli
病毒长度：103124字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：e32fc8bd95c395cf714aced4749aa636
特征描述：
    Trojan/BHO.jli“BHO劫持者”变种jli是“BHO劫持者”家族中的最新成员之一，采用“Microsoft Visual Basic 6.0”编写，经过加壳保护处理。“BHO劫持者”变种jli运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“wybho.dll”、“Thunder.dll”和配置文件“csys.dat”，还会将自身复制到被感染系统的“\Program Files\Internet Explorer\”文件夹下并重新命名。之后原病毒程序会通过批处理的方式将自身删除，以此消除痕迹。“BHO劫持者”变种jli运行时，会将释放的恶意DLL组件“wybho.dll”和“Thunder.dll”插入到“iexplorer.exe”进程中，从而防止被轻易地查杀。“BHO劫持者”变种jli运行时，会强行篡改被感染系统IE浏览器的默认主页为骇客指定站点“www.sogou*lanqi.com|locktypebho=1|locktypeielnk=1|locktypeelselnk=1”，致使用户在开启IE浏览器后便会自动连接到该站点，给骇客带来了非法的经济利益。“BHO劫持者”变种jli会将自身注册为BHO，以此实现随IE浏览器的启动而加载运行。另外，其会在开始菜单“启动”文件夹中添加名为“TM”的指向病毒程序的快捷方式，以此实现木马的开机自启。

英文名称：Trojan/PSW.Kykymber.bv
中文名称：“密室大盗”变种bv
病毒长度：33604字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：778e1032778004829b0a99effd2e1337
特征描述：
    Trojan/PSW.Kykymber.bv“密室大盗”变种bv是“密室大盗”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“密室大盗”变种bv是一个专门盗取“QQ三国”网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“密室大盗”变种bv会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月25日病毒播报：“代理木马”变种cbuq和“循环毒器”变种e

英文名称：TrojanDownloader.Agent.cbuq
中文名称：“代理木马”变种cbuq
病毒长度：102458字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：1e57bdf7501cd8c4e75ccd1bec51b740
特征描述：
    TrojanDownloader.Agent.cbuq“代理木马”变种cbuq是“代理木马”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理，是一个由其它恶意程序释放出来的DLL功能组件。“代理木马”变种cbuq一般会被插入到被感染系统的“explorer.exe”和“iexplore.exe”进程中隐秘运行，以此防止被轻易地查杀。“代理木马”变种cbuq会在被感染系统的后台连接骇客指定的站点“http://down.y*he.me/ad/”，下载恶意程序“server_ie.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“代理木马”变种cbuq还会在被感染系统的后台访问骇客指定的远程站点“http://down.y*he.me/ie.txt”、“http://down.y*he.me/lianwang.txt”，然后根据设置好的配置信息执行相应的恶意操作。另外，其会访问骇客指定的URL“http://down.y*he.me/tj2.php?addr=”，从而对被感染系统进行数量统计。另外，“代理木马”变种cbuq会通过在被感染系统注册表启动项中添加键值的方式实现木马的开机自启。

英文名称：TrojanDownloader.Liwak.e
中文名称：“循环毒器”变种e
病毒长度：32768字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：05f05213509d7e0b2a8f7f3f6df9c590
特征描述：
    TrojanDownloader.Liwak.e“循环毒器”变种e是“循环毒器”家族中的最新成员之一，采用“delphi”语言编写，经过加壳保护处理。“循环毒器”变种e运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。之后原病毒程序会将自身删除，以此消除痕迹。“循环毒器”变种e运行时，会在被感染系统的后台定时启动IE浏览器进程，访问骇客指定的URL“http://ll.fj*hui.cn:1024/d6/x.asp?ttl=490184&v=MDkxMDA5&s=MDAwQzI5QUE3Njcx&n=Q09ERVJVSS1YODY%3D&d=”，下载恶意程序并调用运行。如果访问失败，该病毒会不断启动IE浏览器进程，从而严重地消耗了被感染系统的资源。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，从而给用户造成了不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月26日病毒播报：“视频宝宝”变种bno和“危鬼”变种eeb

英文名称：TrojanClicker/VB.bno
中文名称：“视频宝宝”变种bno
病毒长度：267072字节
病毒类型：木马点击器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：84dc0a1964a7e50eb58671eae3adc39f
特征描述：
    TrojanClicker/VB.bno“视频宝宝”变种bno是“视频宝宝”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“视频宝宝”变种bno运行后，会在被感染系统的“\Program Files\Windows NT\Accessories\”文件夹下释放恶意文件“kug.exe”、“woyou.nls”、“RarFile.lst”、“UnrarSrc.lst”、“mnspro.nls”、“mswrd0.wpc”，在“\Program Files\Adobe\Adobe Help Center\”文件夹下释放“fbv.exe”、“msvcr75.dll”，还会将“www.d91d.com”、“ www.35yes.com”、“ www.loliso.com”、“ www.5dmm.org”、“ www.5dqs.org ”、“www.linkgo.net”和“ www.t17t.com”这些站点加入到IE收藏夹中。“视频宝宝”变种bno会在被感染系统的桌面创建“在线小游戏”、“我的上网主页”和“淘宝购物”的快捷方式，并且会删除一些杀毒软件的快捷方式。其还会强行设置IE浏览器的主页为骇客指定站点“http://www.le*ei.cc/?cj8”，致使用户在打开IE浏览器后便会自动访问该站点，从而给骇客带来了非法的经济利益。

英文名称：Trojan/Vilsel.eeb
中文名称：“危鬼”变种eeb
病毒长度：23876字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：cd37ae22d4fcc12547b5bc47af16fc65
特征描述：
    Trojan/Vilsel.eeb“危鬼”变种eeb是“危鬼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“危鬼”变种eeb运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放临时文件“TQD0.tmp”，在“%SystemRoot%\system32\”文件夹下释放“asycfilt.dll”、“asycfilt.dll.mod”，并将这两个恶意文件复制到“%SystemRoot%\system32\dllcache”文件夹中。同时，其还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意驱动程序“fejVN.DRV”。释放完成后，原病毒程序会将自我删除，以此消除痕迹。“危鬼”变种eeb运行时，会将释放的恶意DLL组件“asycfilt.dll”插入到“iexplorer.exe”中隐秘运行，并在后台访问指定站点，从而给骇客带来了非法的经济利益。另外，“危鬼”变种eeb会通过修改注册表启动项的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月27日病毒播报：“视频宝宝”变种uof和“埃德罗”变种ijh

英文名称：Trojan/VB.uof
中文名称：“视频宝宝”变种uof
病毒长度：155648字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：3a8abaa526845713a9590d187f3cff1e
特征描述：
    Trojan/VB.uof“视频宝宝”变种uof是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic  6.0”语言编写。该病毒的图标会被伪装成QQ样式，以此诱骗用户点击运行。“视频宝宝”变种uof运行后，会在被感染系统的桌面和“%USERPROFILE%\开始\程序”文件夹下创建指向某些站点的Internet快捷方式，例如“精美图片”、“免费电影”、“绚丽图库”和“网址导航”，以此提高这些恶意站点的访问量，给骇客带来了非法的经济利益。“视频宝宝”变种uof运行时，会将“qq.vbs.exe”插入到“explorer.exe”等几乎所有的进程中加载运行，从而防止被轻易地查杀。强行设置IE浏览器的默认主页为骇客指定的站点“www.6*9.hk”，致使用户在打开IE浏览器后便会自动连接至该站点。同时，其还会强行篡改注册表相关键值，致使用户无法正常查看文件和文件夹的属性信息。另外，“视频宝宝”变种uof会通过在被感染系统“启动”文件夹中创建自身副本的方式实现开机自启。

英文名称：TrojanDownloader/Adload.ijh
中文名称：“埃德罗”变种ijh
病毒长度：783884字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：29961e31651fde3112606ea3b7205820
特征描述：
    TrojanDownloader/Adload.ijh“埃德罗”变种ijh是“埃德罗”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”语言编写。“埃德罗”变种ijh运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放批处理文件“srun9.bat”、“srun49.bat”，用以将自身删除。“埃德罗”变种ijh运行时，可能会定时弹出恶意广告页面，从而给用户造成不同程度的干扰。还可能会从骇客指定站点下载恶意程序并自动调用运行。“埃德罗”变种ijh会强行设置被感染系统IE浏览器主页为骇客指定站点“http://www.1*8.net/”，致使用户在打开IE浏览器后便会自动连接至该站点，给骇客带来了非法的经济利益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月28日病毒播报：“恶推客”变种dst和“变异体”变种beq

英文名称：Trojan/Pincav.dst
中文名称：“恶推客”变种dst
病毒长度：217144字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：63e75043e1cdc5b5fb91dbb1d3d7381c
特征描述：
    Trojan/Pincav.dst“恶推客”变种dst是“恶推客”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”语言编写。“恶推客”变种dst运行后，会在被感染系统的“%SystemRoot%\”文件夹下释放文件“movie.Ico ”、“520.Ico”、“ Game.Ico”，同时会在收藏夹中加入“粉丝最多的明星娱乐网站.url”、“空姐美女玩彩票中200万.url”、“女生电影.url”、“女生网-小女生最喜欢的网站.url”、“全国最大的图片门户网站.url”、“小游戏.url”、“艳美性感美女写真网.url”、“最新高清电影免费在线观看.url”等Internet快捷方式。强行设置IE浏览器的默认主页为骇客指定站点“http://www.3*46.com/”，致使用户在打开IE浏览器后便会自动连接到该站点，给骇客带来了非法的经济利益。“恶推客”变种dst还会秘密连接骇客指定的IP“58.52.*.188”，以此实现远程控制被感染系统的目的，从而给用户的信息安全、个人隐私甚至是商业机密造成不同程度的损失。

英文名称：TrojanDownloader/Geral.beq
中文名称：“变异体”变种beq
病毒长度：14336字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：8b6e6e12f691a4bed83687acfdf9e313
特征描述：
    TrojanDownloader/Geral.beq“变异体”变种beq是“变异体”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种beq运行后，会将被感染系统“%SystemRoot%\system32\”文件夹下的文件“wininet.dll”拷贝到“%USERPROFILE%\Local Settings\Temp\”下，重新命名为“ope1C6.tmp”。“变异体”变种beq运行时，会在被感染系统的后台连接骇客指定的URL“138.i*k.info:6598/wow.txt”，下载恶意程序“1.exe”、“2.exe”、“3.exe”、“4.exe”、“5.exe”、“6.exe”、“7.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“变异体”变种beq还会强行篡改系统中的“hosts”文件，通过域名劫持的方法屏蔽某些网游站点，从而阻止用户通过游戏官网找回失窃的密码。另外，“变异体”变种beq会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月29日病毒播报：“代理木马”变种aiur和“灰鸽子”变种awqv

英文名称：TrojanDropper.Agent.aiur
中文名称：“代理木马”变种aiur
病毒长度：9813字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：9ef5aa08c004a5e6e3f3b6c37815b263
特征描述：
    TrojanDropper.Agent.aiur“代理木马”变种aiur是“代理木马”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“代理木马”变种aiur会将系统文件“%SystemRoot%\system32\ksuser.dll”备份为“%SystemRoot%\system32\sksuser.dll”，然后关闭系统对“%SystemRoot%\system32\ksuser.dll”的文件保护，并用新生成的病毒文件去替换“%SystemRoot%\system32\ksuser.dll”和“%SystemRoot%\system32\DLLCache\ksuser.dll”，以此实现自启动的目的。释放完毕后，原病毒程序会将自身添加到系统重启删除项目中，以此消除痕迹。“代理木马”变种aiur是一个专门盗取“征途”网络游戏会员账号的木马程序，其会随网络游戏“征途”一同启动运行。“代理木马”变种aiur运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“zhengtu.dat”中。如果已经插入其中，则会利用内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的URL“http://dh6.h001.8*s.net/xxx/post.asp?%s?act=getpos&d10=%s&pos=&d80=、http://dh6.h001.8*s.net/xxx/1551/post.asp?%s?d00=%s&d01=%s&d10=%s&d11=%s&d30=%s&d32=%d&d40=%d&d42=%d&d45=%d&d21=%s&d22=%s&d50=%s&d70=%d&para=%s”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：Backdoor/Huigezi.awqv
中文名称：“灰鸽子”变种awqv
病毒长度：291549字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：084ee7c594ded773553d4ea6b708755c
特征描述：
    Backdoor/Huigezi.awqv“灰鸽子”变种awqv是“灰鸽子”后门家族的最新成员之一，采用Delphi语言编写，经过加壳保护处理。“灰鸽子”变种awqv运行后，会自我复制到被感染系统的“\Program Files\Common Files\Microsoft Shared\MSInfo\”目录下，重新命名为“ttemge.exe”（文件属性设置为：只读、隐藏、存档）。之后原病毒程序会将自我删除，以此消除痕迹。“灰鸽子”变种awqv运行时，会将恶意代码注入到新建的“iexplore.exe”进程中隐秘运行，以此隐藏自我，防止被轻易地查杀。“灰鸽子”变种awqv是一个反向连接的远程控制程序，骇客可对这些被控主机进行任意的控制操作，从而严重地侵害了系统用户的合法权益。另外，“灰鸽子”变种awqv会将自身注册为系统服务，以此实现开机后的自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月30日病毒播报：“绑架犯”变种wl和“毒疤”变种ebp

英文名称：Trojan/PSW.Bjlog.wl
中文名称：“绑架犯”变种wl
病毒长度：192512字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：e814e4769536c562795424d734c8968c
特征描述：
    Trojan/PSW.Bjlog.wl“绑架犯”变种wl是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”语言编写。“绑架犯”变种wl运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“fqyuvpuhwc.log”，同时会将该文件复制到“\Documents and Settings\All Users\Application Data\Storm\update”文件夹下，重新命名为“umitq.lib”，之后会将“fqyuvpuhwc.log”删除。另外，其还会在“%SystemRoot%\Temp”文件夹下释放恶意文件“22.exe”。释放完毕后，原病毒程序会将自身删除，以此消除痕迹。“绑架犯”变种wl会调用释放的“22.exe”，同时将自身注入新创建的“svchost.exe”进程中隐秘运行。在被感染系统的后台秘密监视用户的键盘输入，伺机窃取用户输入的账号及密码等机密信息。其会将窃得的信息发送到骇客指定的站点“cf*05.3322.org上（地址加密存放），给用户造成了不同程度的损失。另外，“绑架犯”变种wl还会连接骇客指定的站点“cf*05.3322.org”，下载恶意程序“5.exe”，“111.exe”，“Wiubt.exe”，“Wixiap32.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

英文名称：Trojan/Scar.ebp
中文名称：“毒疤”变种ebp
病毒长度：32768字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：64ec7c1ee6fcf3fb7c8e67201eed3420
特征描述：
    Trojan/Scar.ebp“毒疤”变种ebp是“毒疤”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“毒疤”变种ebp运行后，会自我复制到被感染系统的“\Program Files\Internet Explorer\”文件夹下，重新命名为“Svctrnb.exe”，同时会将文件属性设置为“系统、隐藏”。之后原病毒程序会将自我删除，以此消除痕迹。“毒疤”变种ebp运行时，会在被感染系统的后台秘密监视用户的键盘输入，伺机窃取用户输入的私密信息，并在后台将窃得的信息发送到骇客指定的站点“d*h.3322.org”上（地址加密存放），从而对被感染系统用户造成了不同程度的侵害。另外，“毒疤”变种ebp会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技3月31日病毒播报：“吸金者”变种aw和“视频宝宝”变种uql

英文名称：Trojan/PSW.Eruwbi.aw
中文名称：“吸金者”变种aw
病毒长度：108544字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：ccf8ff587d454902ccd6a308cfac647b
特征描述：
    Trojan/PSW.Eruwbi.aw“吸金者”变种aw是“吸金者”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“吸金者”变种aw的图标会被伪装成“Windows Media Player”样式，以此诱骗用户点击运行。“吸金者”变种aw运行后，会弹出“如果出现安全提示，请点击允许操作即可正常安装。”的对话框，以此降低用户的警惕性。“吸金者”变种aw运行时，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放图标文件“qm_71538_com.ico”、“t_58816_com.ico”、“life_74443_com.ico”、“www_meinvly_com.ico”、“bg_71538_com.ico”和“nr.71538.com.ico”，在“USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“\Documents and Settings\All Users\「开始」菜单\程序\”和“%USERPROFILE%\”文件夹下分别创建假冒的IE浏览器快捷方式。同时，其还会在“%USERPROFILE%\Favorite”以及桌面文件夹下创建“精彩小游戏.url”，“美女乐园.url”，“美女视频.url”，“女人世界.url”，“淘宝购物.url”，“网址大全.url”，“言情小说.url”和“创业投资好项目.url”等Internet快捷方式，以此诱骗用户点击运行，从而给不法分子带来了经济利益。“吸金者”变种aw在执行完上述操作后，会弹出“安装终止！”的对话框。点击其“确定”按钮后，IE浏览器会自动访问不良的站点。另外，“吸金者”变种aw可以通过下载网站、论坛附件、邮件附件或QQ文件在线传输等多种手段进行传播，请用户务必留意防范。

英文名称：Trojan/VB.uql
中文名称：“视频宝宝”变种uql
病毒长度：86016字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：2d803358a4c8397e35f2b8f0a63b1770
特征描述：
    Trojan/VB.uql“视频宝宝”变种uql是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“视频宝宝”变种uql运行后，会自我复制到被感染系统的“%SystemRoot%\help\”文件夹下，重新命名为“smss.exe”。之后会释放批处理文件“del.bat”，以此实现自我删除的目的。“视频宝宝”变种uql运行时，会秘密连接骇客指定的站点，以此实现被远程控制的目的。骇客可利用“视频宝宝”变种uql完全控制被感染的计算机系统，致使被感染系统用户的信息安全和个人隐私面临着严重的威胁。另外，“视频宝宝”变种uql会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月1日病毒播报：“变异体”变种beu和“循环毒器”变种k

英文名称：TrojanDownloader.Geral.beu
中文名称：“变异体”变种beu
病毒长度：34304字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：24c2b5547b92de705c4d2e9d3bbcfa68
特征描述：
    TrojanDownloader/Geral.beu“变异体”变种beu是“变异体”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种beu运行后，会遍历当前系统运行的所有进程。一旦发现“kswebshield.exe”、“mctray.exe”、“mcshield.exe”正在运行，便会尝试将其结束，从而致使系统失去安全软件的保护。在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“winagi.ime”，之后会将其插入到系统桌面程序“explorer.exe”中加载运行，从而防止被轻易地查杀。在被感染系统的后台秘密监视用户的键盘、鼠标操作，伺机窃取用户输入的机密信息，并在后台将窃得的信息发送到骇客指定的站点或邮箱（地址加密存放），从而给被感染计算机用户造成了不同程度的损失。“变异体”变种beu还会利用恶意驱动程序“pcii.sys”关闭安全软件的自保护和进程，致使被感染系统用户面临更多的风险。另外，“变异体”变种beu会在被感染系统的后台连接骇客指定的站点，下载其它恶意程序并自动调用运行。

英文名称：TrojanDownloader.Liwak.k
中文名称：“循环毒器”变种k
病毒长度：31744字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：0a4ffdcd49ec01e967c473d85c180a90
特征描述：
    TrojanDownloader.Liwak.k“循环毒器”变种k是“循环毒器”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“循环毒器”变种k运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“dxp.exe”。其还会在“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下分别释放恶意DLL组件“qmgr.dll”，从而通过替换系统文件的方式实现开机自启。“循环毒器”变种k运行时，会在被感染系统的后台连接骇客指定的站点http://zx.fjho*hui.cn:1024/k12/，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，从而给用户造成了不同程度的损失。另外，“循环毒器”变种k在释放完病毒文件后会通过批处理的方式将自身删除，以此达到消除痕迹的目的。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月2日病毒播报：“代理木马”变种jnv和“萨斯风”变种hmt

英文名称：Trojan/PSW.Agent.jnv
中文名称：“代理木马”变种jnv
病毒长度：610304字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：916f5576cee74ce3d550b284e850a6f5
特征描述：
    Trojan/PSW.Agent.jnv“代理木马”变种jnv是“代理木马”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“代理木马”变种jnv是一个专门盗取“大话西游onlineII”网络游戏会员账号的木马程序，其会随网络游戏“大话西游onlineII”一同启动运行。“代理木马”变种jnv运行后，会确认自身是否已经插入到系统桌面程序“explorer.exe”和游戏进程“xy2.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“代理木马”变种jnv会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Trojan/Sasfis.hmt
中文名称：“萨斯风”变种hmt
病毒长度：40960字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：516bdb26d7557c121893f8eea30100f0
特征描述：
    Trojan/Sasfis.hmt“萨斯风”变种hmt是“萨斯风”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“萨斯风”变种hmt运行时，会将恶意代码注入到新建的“calc.exe”进程中隐秘运行，从而防止被轻易地查杀。“萨斯风”变种hmt运行时，会在桌面新建IE快捷方式，并将其默认主页设置为“http://www.3*7.com/”，致使用户在打开浏览器后便会自动连接至该站点，增加了其访问量。其还会在收藏夹中添加“上海滩社区.lnk”、“萤火虫网址导航.lnk”、“萤火虫网盘_最好的免费网络硬盘.lnk”三个快捷方式，并将以上快捷方式的属性设置为“系统、只读”。“萨斯风”变种hmt的安装程序在执行完毕后会将自我删除，以此达到消除痕迹的目的。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。