江民科技 每日病毒播报

north_wolf

江民科技4月3日病毒播报：“友好客户”变种aeyy和“毒蝙蝠”变种rz

英文名称：Backdoor/PcClient.aeyy
中文名称：“友好客户”变种aeyy
病毒长度：66572字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：7f81785933a09a4ea3550c35a48a951b
特征描述：
    Backdoor/PcClient.aeyy“友好客户”变种aeyy是“友好客户”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“友好客户”变种aeyy运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“wgklchls.tmp”，文件属性设置为“只读、存档”。其还会在“Program Files\Internet Explorer”文件夹下释放恶意程序“cttnl.exe”。释放完成后，原病毒程序会将自我删除，以此消除痕迹。“友好客户”变种aeyy属于反向连接后门，其会连接骇客指定的站点，获取客户端的IP地址，然后侦听骇客的指令，从而达到被远程控制的目的。该后门可以对被感染系统中存储的文件进行任意操作，同时监视用户的一举一动（如键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可以窃取、修改或删除用户计算机中存放的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染了“友好客户”变种aeyy的计算机还会成为骇客的傀儡主机，骇客利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等。另外，“友好客户”变种aeyy会通过修改已存在系统服务“IAS”的方式实现开机自启。

英文名称：Trojan/BAT.rz
中文名称：“毒蝙蝠”变种rz
病毒长度：25088字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：020374b53234698aeab3da4f04465a06
特征描述：
    Trojan/BAT.rz“毒蝙蝠”变种rz是“毒蝙蝠”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“毒蝙蝠”变种rz运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意批处理文件“winnt32.bat”和临时文件“exeE2.tmp”，还会在桌面添加“常用软件”和“google搜索”的快捷方式。“毒蝙蝠”变种rz运行后，会强行篡改系统“hosts”文件，从而利用域名映像劫持特性来屏蔽某些站点。强行设置IE浏览器的默认主页为骇客指定站点“123.b*o.cn”，致使用户在打开IE浏览器后便会自动连接至该站点，从而给骇客带来了经济利益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月4日病毒播报：“危鬼”变种ejr和“毒疤”变种qsd

英文名称：Trojan/Vilsel.ejr
中文名称：“危鬼”变种ejr
病毒长度：26680字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：a855e1b095e92de0212cd48128f8102a
特征描述：
    Trojan/Vilsel.ejr“危鬼”变种ejr是“危鬼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“危鬼”变种ejr运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“TQB2.tmp”、“KqvjR.DRV”，在“%SystemRoot%\system32\”文件夹下释放“ddraw.dll.mod”，并把“ddraw.dll.mod”文件重新命名为“ddraw.dll”，以此替换系统文件。释放完毕后，原病毒程序会通过调用批处理文件的方式将自身删除，以此消除痕迹。“危鬼”变种ejr运行时，会将释放出来的恶意DLL组件“ddraw.dll”插入到系统桌面程序“explorer.exe”中加载运行。在后台执行恶意操作，隐藏自我，防止被轻易地查杀。在后台访问某些站点，从而给骇客带来了非法的经济利益。

英文名称：Trojan/Scar.qsd
中文名称：“毒疤”变种qsd
病毒长度：113664字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：9f4d4270d5dd98b7b501efc99743f2b2
特征描述：
    Trojan/Scar.qsd“毒疤”变种qsd是“毒疤”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“毒疤”变种qsd运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下。其还会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“AttackSet.dat”和“TraversinIE.exe ”。释放完毕后，原病毒程序会将自身删除，以此消除痕迹。“毒疤”变种qsd运行时，会窃取当前系统的配置信息，然后从骇客指定的站点“http://New.lo*ake.com/NewCC/”下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“毒疤”变种qsd会通过在被感染系统中注册系统服务的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月5日病毒播报：“起动器”变种bj和“灰鸽子”变种avzo

英文名称：Trojan/Starter.bj
中文名称：“起动器”变种bj
病毒长度：51712字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：fcf4f4664fef60458088588d19cae1aa
特征描述：
    Trojan/Starter.bj“起动器”变种bj是“起动器”家族中的最新成员之一，采用高级语言编写。“起动器”变种bj运行后，会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“KGootkit.sys”。释放完毕后，原病毒程序会将自我删除，以此消除痕迹。秘密连接骇客指定的URL“http://he*hen.cc:3128/be92851339bf80fdec391b5f9575e47f0f”和“http://hbot.as*nd.biz:3128/h8de9f798301b581092247edc995c50c0”，侦听骇客的指令，从而在被感染系统上执行相应的恶意操作。骇客可通过“起动器”变种bj对被感染系统实现完全的远程控制，从而严重地侵害了系统用户的个人隐私。“起动器”变种bj会在后台启动IE浏览器进程“iexplore.exe”，之后会把恶意代码注入其中隐秘运行，从而利用白名单机制绕过防火墙的监视。“起动器”变种bj还会利用“Rootkit”等高级技术来隐藏自我，从而防止被轻易地查杀。另外，“起动器”变种bj会将名为“KGootkit”的驱动注册为系统服务，以此实现木马的开机自启。

英文名称：Backdoor/Huigezi.avzo
中文名称：“灰鸽子”变种avzo
病毒长度：291845字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：52399ee30723b1b12cf7b6bf4af4ee1b
特征描述：
    Backdoor/Huigezi.avzo“灰鸽子”变种avzo是“灰鸽子”后门家族的最新成员之一，采用Delphi语言编写，经过加壳保护处理。“灰鸽子”变种avzo运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”目录下，重新命名为“K42p1sRF.exe”（文件属性设置为：只读、隐藏、存档）。之后原病毒程序会将自我删除，以此消除痕迹。“灰鸽子”变种avzo是一个反向连接远程控制后门，运行后会与骇客指定的地址“59.51.*.36”进行联网通讯。骇客可以远程任意控制被感染的计算机，从而达到窃取系统用户私密信息等目的，给用户造成了不同程度的损失。另外，“灰鸽子”变种avzo会将自身注册成名为“WINSER_0x0”的系统服务，以此实现开机后的自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月6日病毒播报：“霸族”变种bok和“代理木马”变种jql

英文名称：Trojan/Buzus.bok
中文名称：“霸族”变种bok
病毒长度：102400字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：6abfb07eb36da349c813bcfa791deff2
特征描述：
    Trojan/Buzus.bok“霸族”变种bok是“霸族”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加密保护处理。“霸族”变种bok运行后，会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意文件“ntndis.exe”和恶意驱动程序“ntndis.sys”。释放完毕后，原病毒程序会通过调用批处理文件的方式将自身删除，以此消除痕迹。在被感染系统的后台秘密监视用户的键盘输入，窃取用户输入的账号及密码等机密信息，并在后台将窃得的信息发送到骇客指定的站点或邮箱里（地址加密存放），从而给被感染系统用户造成了不同程度的损失。秘密连接骇客指定的URL“www.gfxs*tor.se/forums/spoil/raw/illu/?act=online&s4=25580&s5=25580&nickname=enRyLWIzYTRjYmFkMTc0WzY2OTI4NTld”，侦听骇客的指令，从而实现远程控制被感染系统的目的。另外，“霸族”变种bok会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Trojan/PSW.Agent.jql
中文名称：“代理木马”变种jql
病毒长度：610304字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：9da24b76917dd6c6516f8064fd204216
特征描述：
    Trojan/PSW.Agent.jql“代理木马”变种jql是“代理木马”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“代理木马”变种jql是一个专门盗取“大话西游”网络游戏会员账号的木马程序，其会随“大话西游”一同启动运行。“代理木马”变种jql运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“xy2.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“代理木马”变种jql会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月7日病毒播报：“恶推客”变种dvd和“变异体”变种bfe

英文名称：Trojan/Pincav.dvd
中文名称：“恶推客”变种dvd
病毒长度：249912字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：3b74195e001ec3cf5fdb21c05ff54cbf
特征描述：
    Trojan/Pincav.dvd“恶推客”变种dvd是“恶推客”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“恶推客”变种dvd运行后，会自我复制到被感染系统的“%SystemRoot%\”文件夹下，重新命名为“win_32.exe”。之后会将其插入到“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。“恶推客”变种dvd还会在“%SystemRoot%\”文件夹下释放图标文件“movie.ico”、“taobao2.ico”、“Game.ico”，在IE收藏夹下释放“6M时尚女性”、“粉丝最多的明星娱乐网站”、“空姐美女玩彩票中200万”、“空姐网-真实社交网络”、“女生电影”、“女生网-小女生最喜欢的网站”、“去酒吧”、“全国最大的图片门户网站”、“淘宝购物”、“小游戏”、“最新高清电影免费在线观看”等Internet快捷方式，以此诱导用户访问这些站点，给骇客带来了非法的经济利益。另外，“恶推客”变种dvd还会通过多种方式强行设置IE浏览器默认主页为骇客指定站点“www.31*46.com”及“taobao.7*s.com”。

英文名称：TrojanDownloader/Geral.bfe
中文名称：“变异体”变种bfe
病毒长度：13824字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：55e7a5c451638df6d72b36d9ca392a6b
特征描述：
    TrojanDownloader/Geral.bfe“变异体”变种bfe是“变异体”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种bfe运行后，会将被感染系统“%SystemRoot%\system32\”文件夹下的“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“opeBC.tmp”后加载运行。“变异体”变种bfe访问网络时，会在被感染计算机的后台调用IE浏览器“iexplore.exe”，之后会将恶意代码注入其中隐秘执行。在被感染系统的后台连接骇客指定的远程站点“www.f*o.cn:85/xz/”，读取配置文件“1.txt”，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月8日病毒播报：“友好客户”变种afhn和“危鬼”变种elm

英文名称：Backdoor/PcClient.afhn
中文名称：“友好客户”变种afhn
病毒长度：29696字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：8d5a58fd29dece5de5f8575ea9254e1c
特征描述：
    Backdoor/PcClient.afhn“友好客户”变种afhn是“友好客户”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“友好客户”变种afhn运行后，会在被感染系统“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“byrlwp.dll”，在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“byrlwp.sys”。安装完成后，原病毒程序会将自身删除，以此消除痕迹。“友好客户”变种afhn属于反向连接后门，其会在被感染系统的后台连接骇客指定的服务器，获取客户端的IP地址，然后侦听骇客的指令，从而实现被远程控制的目的。该后门具有远程监视、控制等功能，可以对被感染系统中存储的文件进行任意操作。其还可监视用户的键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等，从而对被感染系统用户的个人隐私构成了严重的威胁。骇客还可以利用被感染的系统对指定的站点发起DDoS攻击、洪水攻击等，从而为互联网造成了更多的威胁。

英文名称：Trojan/Vilsel.elm
中文名称：“危鬼”变种elm
病毒长度：25924字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：a266461fb5d3a3dfde1e1fa9ceacafc0
特征描述：
    Trojan/Vilsel.elm“危鬼”变种elm是“危鬼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“危鬼”变种elm运行后，会在被感染系统的“%SystemRoot%\system32\dllcache\”文件夹下释放恶意文件“dsound.dll.mod”，在“%SystemRoot%\system32\”文件夹下释放“dsound.dll”，以此替换系统文件。其还会在被感染系统的“%SystemRoot%\system\”文件夹下释放恶意驱动程序“mMlUd.DRV”。释放完毕后，原病毒程序会将自身删除，以此消除痕迹。“危鬼”变种elm运行时，会在后台定时访问指定的站点，以此提高这些站点的访问量，从而给骇客带来了非法的经济利益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月9日病毒播报：“反启杀手”变种ew和“视频宝宝”变种njs

英文名称：Trojan/AntiHeur.ew
中文名称：“反启杀手”变种ew
病毒长度：35925字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：e2d73681300992e0a8231362427f89ed
特征描述：
    Trojan/AntiHeur.ew“反启杀手”变种ew是“反启杀手”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“反启杀手”变种ew运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“222.txt”，同时加载“\Program Files\Thunder Network\Thunder\ComDlls\”文件夹下的DLL组件“xunlei.dll”进行联网。其会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“storm.exe”，并在自身所在的文件夹中重新命名为“RV00458.tmp”。“反启杀手”变种ew运行时，会秘密连接骇客指定的服务器进行指令侦听，进而执行相应的恶意操作。骇客可通过“反启杀手”变种ew完全控制被感染的计算机系统，致使被感染系统用户的个人隐私面临着严重的威胁。其还会利用“Rootkit”等高级技术来隐藏自我，从而防止被轻易地查杀。另外，“反启杀手”变种ew会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

英文名称：TrojanDropper.VB.njs
中文名称：“视频宝宝”变种njs
病毒长度：65008字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：42980935df03db4519a8cc8127b0d411
特征描述：
    TrojanDropper.VB.njs“视频宝宝”变种njs是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种njs运行后，会在被感染系统的“\Users\”文件夹下释放恶意文件“TXPlatform.exe”、“sms.exe”、“QQfun.exe”，在“%SystemRoot%\”文件夹下释放配置文件“info.ini”，还会在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“SafeM.dll”，并设置其文件属性为“系统、只读、隐藏”。“视频宝宝”变种njs会定时弹出广告网页或窗口，从而严重地干扰用户的正常操作。秘密连接骇客指定的服务器“60.209.*.241”，侦听骇客的指令，以此实现了远程控制，从而给被感染系统用户的个人隐私造成了严重的威胁。另外，“视频宝宝”变种njs会将自身注册为BHO（浏览器辅助对象），以此实现随IE浏览器的启动而加载的目的。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月10日病毒播报：“循环毒器”变种o和“代理木马”变种ccnc

英文名称：TrojanDownloader.Liwak.o
中文名称：“循环毒器”变种o
病毒长度：31744字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：5dced9f394284b4efb4a544ca1f4e4e5
特征描述：
    TrojanDownloader.Liwak.o“循环毒器”变种o是“循环毒器”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“循环毒器”变种o运行时，会在被感染系统的后台连接骇客指定的URL“"http://abc.fjho*hui.cn:1024/d6/x.asp?ttl=7023465&v=MDkxMDA5&s=MDAwQzI5Rjc0RTBE&n=WlRSLUIzQTRDQkFEMTc0&d="”，下载恶意程序“NetRepair.exe”并自动调用运行。“NetRepair.exe”运行后会在被感染系统的“%SystemRoot%\system32\GroupPolicy\User\Scripts\”文件夹下分别释放恶意文件“gpt.ini”、“scripts.ini ”、“autorun.bat ”、“winlogo.exe”，这些恶意文件可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。其还会秘密连接骇客指定的URL（“222.73.*.20:2004/t28/agent.asp?r=20971788”），侦听骇客指令，以此实现对被感染系统的远程控制，从而对被感染系统用户的个人私密信息造成了严重的威胁。

英文名称：TrojanDownloader.Agent.ccnc
中文名称：“代理木马”变种ccnc
病毒长度：72704字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：f06ad04e9adb7d6b163eff7c26680d0b
特征描述：
    TrojanDownloader.Agent.ccnc“代理木马”变种ccnc是“代理木马”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“代理木马”变种ccnc是一个专门盗取“完美国际”网络游戏会员账号的木马程序，其会随“完美国际”一同启动运行。“代理木马”变种ccnc运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“elementclient.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“代理木马”变种ccnc会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月11日病毒播报：“埃德罗”变种ipe和“小广告”变种bgi

英文名称：TrojanDownloader.Adload.ipe
中文名称：“埃德罗”变种ipe
病毒长度：1625909字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：e70342f8aa97de271abd68c91291c2ed
特征描述：
    TrojanDownloader.Adload.ipe“埃德罗”变种ipe是“埃德罗”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“埃德罗”变种ipe运行后，会在被感染系统的“\Program Files\Win32Games\”文件夹下释放恶意DLL组件“AddURL.dll”、“shffolder.dll”、“SuperRepair.dll”、“sysdkeys.dll”以及恶意程序“bb.tmp”、“AddURL.bat”、“bookmarks.dat”、“install.exe”、“setup.bat”、“setup.exe”、“Thumbs.db”、“url.txt”、“wingames.exe”，还会在该文件夹下创建图标“2xi.ico”、“dangdangwang.ico”、“jiuzhou.ico”、“zhuoyue.ico”。强行设置IE浏览器的默认主页为骇客指定的站点“www.8*8.net/cp.html ”，致使用户在打开IE浏览器后便会自动连接到该站点。在被感染系统的桌面和IE收藏夹中创建数个Internet快捷方式，诱导用户对指定站点进行访问，从而增加了这些站点的访问量，给骇客带来了非法的经济利益。“埃德罗”变种ipe还会在“Program Files”文件夹下安装流氓软件“方便快速百度搜索”，该软件会在被感染系统“启动”文件夹下创建快捷方式以实现开机自启。另外，“埃德罗”变种ipe会访问骇客指定的URL“http://so1.5*5.net/interface?action=install&p=5.1|1020X614|0|0&code=BCA579C8-00-0C-29-F7-4E-0D&id=cp0003”，以此对被感染系统进行统计。

英文名称：Trojan/Pasta.bgi
中文名称：“小广告”变种bgi
病毒长度：299008字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：a30ae25545cf032c0176ca407170acae
特征描述：
    Trojan/Pasta.bgi“小广告”变种bgi是“小广告”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“小广告”变种bgi运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“SoudMan.exe”和“Windows Player.exe”。其会试图强行删除某些安全软件的注册表项，致使这些安全软件无法正常运行，从而提高了自身的生存几率。强行设置IE浏览器的默认主页为骇客指定站点“www.dj*wen.com”，致使用户在打开IE浏览器后便会自动连接至该站点，以此给骇客带来了非法的经济利益。其还会定时弹出恶意广告网页、连接指定站点下载其它的恶意程序，从而给用户造成了不同程度的干扰和侵害。另外，“小广告”变种bgi会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月12日病毒播报：“毒疤”变种qyr和“视频宝宝”变种xql

英文名称：Trojan/Scar.qyr
中文名称：“毒疤”变种qyr
病毒长度：17920字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：2b647b10b8e8b8ed26235a388d4500f3
特征描述：
    Trojan/Scar.qyr“毒疤”变种qyr是“毒疤”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“毒疤”变种qyr运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意驱动程序“NXShell.exe”并调用运行。之后原病毒程序会将自身删除，以此消除痕迹。“毒疤”变种qyr是一个反向连接木马程序，其会在被感染系统的后台连接骇客指定的远程站点，获取客户端的IP地址，然后侦听骇客的指令，从而实现被远程控制的目的。该后门具有远程监视、控制等功能，可以对被感染系统中存储的文件进行任意的操作。其还会监视用户的键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等，从而对被感染系统用户的个人隐私甚至是商业机密造成了严重的威胁。骇客还可以利用被感染系统对指定站点发动DDoS攻击、洪水攻击等，从而造成了更大的威胁。“毒疤”变种qyr会在被感染系统中注册名为“NX Shell”的系统服务，以此实现开机自动运行（服务描述为“独立进程服务，可交互”）。

英文名称：Trojan/VB.xql
中文名称：“视频宝宝”变种xql
病毒长度：86016字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：42e8f655cd4ab7be61dd5c1007d0b734
特征描述：
    Trojan/VB.xql“视频宝宝”变种xql是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“视频宝宝”变种xql运行后，会自我复制到被感染系统的“%SystemRoot%\rising\”文件夹下，重新命名为“smss.exe”。之后原病毒程序会通过创建批处理文件的方式将自身进行删除。“视频宝宝”变种xql运行时，会在被感染系统中定时弹出恶意广告网页或恶意广告条窗口（这些恶意广告网页中可能包含网页木马，会给存在相应漏洞的系统造成不同程度的威胁），从而给骇客带来了非法的经济利益。另外，“视频宝宝”变种xql在运行时会占用较多的系统资源，从而影响了被感染系统用户对于计算机的正常操作。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。