江民科技 每日病毒播报

north_wolf

江民科技4月13日病毒播报：“友好客户”变种afiw和“鞋匠”变种fr

英文名称：Backdoor/PcClient.afiw
中文名称：“友好客户”变种afiw
病毒长度：168078字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：2fb724d25e3141f8fad653e6d3b0b4e2
特征描述：
    Backdoor/PcClient.afiw“友好客户”变种afiw是“友好客户”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“友好客户”变种afiw运行后，会在被感染系统的“Documents and Settings\Local User”文件夹下释放恶意DLL组件“ntuser.dll”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“友好客户”变种afiw会在被感染系统的后台遍历所有正在运行的进程，一旦发现指定安全软件进程存在，便会强行向其循环发送垃圾消息，从而试图使其出错退出运行。“友好客户”变种afiw属于反向连接后门，其会在被感染系统的后台连接骇客指定的服务器，获取客户端的IP地址，然后侦听骇客的指令，从而实现被远程控制的目的。该后门具有远程监视、控制等功能，可以对被感染系统中存储的文件进行任意操作。其还可监视用户的键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等，从而对被感染系统用户的个人隐私构成了严重的威胁。骇客还可以利用被感染的系统对指定的站点发起DDoS攻击、洪水攻击等，从而为互联网造成了更多的威胁。“友好客户”变种afiw会在被感染系统中注册名为“ai0svc”的系统服务，以此实现开机自动运行。

英文名称：Trojan/Clicker.fr
中文名称：“鞋匠”变种fr
病毒长度：256107字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：6b9a5cb239d185b6eb7442a6c48954e5
特征描述：
    Trojan/Clicker.fr“鞋匠”变种fr是“鞋匠”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0 ”编写。“鞋匠”变种fr运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“Thunder.dll”和配置文件“sysini.ini”，在“%ProgramFiles%”文件夹下释放恶意程序“snss.exe”，其还会自我复制到被感染系统的“%ProgramFiles%\Internet Explorer\”文件夹下。释放完成后，原病毒程序会通过批处理的方式将自我删除，以此消除痕迹。“鞋匠”变种fr运行时，会在被感染系统的后台定时访问“sysini.ini”文件中包含的恶意广告站点，以此提高这些恶意网站的访问量，不仅给骇客带来了经济利益，同时严重地影响和干扰了用户的正常操作。另外，“鞋匠”变种fr会在开始菜单“启动”文件夹中添加名为“QQ.exe”的快捷方式，以此实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月14日病毒播报：“危鬼”变种emk和“橘色诱惑”变种bpg

英文名称：Trojan/Vilsel.emk
中文名称：“危鬼”变种emk
病毒长度：28508字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6ce55d356873f325ba1b1ae8cb3e8bd1
特征描述：
    Trojan/Vilsel.emk“危鬼”变种emk是“危鬼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“危鬼”变种emk运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“dsound.dll”、“dsound.dll.mod”，在“%SystemRoot%\system32\dllcache\”文件夹下释放“dsound.dll”、“dsound.dllhVOwU”，还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意驱动程序“ShjUk.DRV”，并将其复制到“%SystemRoot%\system\”文件下。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“危鬼”变种emk会篡改系统文件“dsound.dll”，并通过正常程序对被感染文件的调用实现恶意文件的运行。“危鬼”变种emk是一个专门盗取“《天下贰》 公测版”网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视系统中正在运行的进程，当发现游戏主程序启动时，会通过安装消息钩子的方式截获网络游戏玩家的机密信息，以此盗取游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等机密信息，从而给游戏玩家造成了不同程度的损失。

英文名称：Trojan/Chifrax.bpg
中文名称：“橘色诱惑”变种bpg
病毒长度：424266字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：52336b10e7cca90f10d12d3a47c33cfb
特征描述：
    Trojan/Chifrax.bpg“橘色诱惑”变种bpg是“橘色诱惑”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“橘色诱惑”变种bpg运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“dsound.dll”、“t320068.dll”、“zydxc0209.dll”以及恶意程序“6446218.exe”、“scvhost.exe”、“e6777078t.exe”、“TraversinIE.exe”，还会在“%SystemRoot%\system32\dllcache\”、“%SystemRoot%\system32\drivers\”文件夹下分别释放恶意文件“dsound.dllklhIo”、“dsound.dllddmki ”、“One.sys ”和“shadowsafe.sys ”。释放完成后原病毒程序会将自身删除。“橘色诱惑”变种bpg运行时，会在被感染系统的后台连接骇客指定的URL“New.lo*make.com/NewCC/NewCC.txt”，获取“恶意程序下载列表”，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其还会在后台定时访问指定的站点，从而给骇客带来非法的经济利益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月15日病毒播报：“代理木马”变种cemn和“密匪”变种ba

英文名称：TrojanDownloader.Agent.cemn
中文名称：“代理木马”变种cemn
病毒长度：58767字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：12339ad0bd65ea98d6ce85f9f24d375c
特征描述：
    TrojanDownloader.Agent.cemn“代理木马”变种cemn是“代理木马”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“代理木马”变种cemn运行后，会自我复制到被感染系统的指定文件夹下重新命名保存。“代理木马”变种cemn运行时，会在被感染系统的后台秘密窃取当前系统的配置信息并提交给如下URL“http://sil.ch*system.com/sil.php?fid=%s&mac=%s&id=%s&check=%s”、“http://cl.ch*system.com/cl.php?fid=%s&mac=%s&check=%s”，之后骇客会从指定的站点下载其它恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，从而给用户造成了不同程度的威胁。“代理木马”变种cemn是某恶意程序集合中的部分功能组件，如果在系统中发现了此种病毒，则说明此计算机中还存在其它的恶意程序。

英文名称：Trojan/PSW.Frethoq.ba
中文名称：“密匪”变种ba
病毒长度：12580字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：5c7dc973a73471087eccbe485f25b227
特征描述：
    Trojan/PSW.Frethoq.ba“密匪”变种ba是“密匪”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“密匪”变种ba运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“ksuser.dll”、“aksuser.dll”、“abc.dll”，在“%SystemRoot%\system32\dllcache\”文件夹下释放“ksuser.dll”。其会用释放的恶意DLL组件“ksuser.dll”替换同名系统文件，从而实现病毒的自启动，提高了自身的隐蔽性。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“密匪”变种ba是一个专门盗取“征途”网络游戏会员账号的木马程序，当其发现游戏主程序启动时，会通过安装消息钩子的方式窃取网络游戏玩家的机密信息，从而给游戏玩家造成了不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月16日病毒播报：“砸波”变种cvb和“变异体”变种bfo

英文名称：TrojanSpy.Zbot.cvb
中文名称：“砸波”变种cvb
病毒长度：50688字节
病毒类型：间谍木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：e97e8261774614aed05f51966071c5a8
特征描述：
    TrojanSpy.Zbot.cvb“砸波”变种cvb是“砸波”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“砸波”变种cvb运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“ntos.exe”（文件属性设置为“系统、隐藏、只读、存档”），以此替换系统文件“ntos.exe”，从而实现开机自启。遍历当前系统中所有的进程，一旦发现某些安全软件正在运行，便会尝试将其结束，致使被感染系统失去安全软件的保护。“砸波”变种cvb运行时，会将恶意代码注入到新创建的“winlogon.exe”进程中隐秘运行。在被感染系统后台连接骇客指定的URL“https://onlineeast.banko*merica.com/cgi-bin/ias/*/GotoWelcome”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“砸波”变种cvb会通过修改被感染系统注册表启动项的方式实现开机自启。

英文名称：TrojanDownloader.Geral.bfo
中文名称：“变异体”变种bfo
病毒长度：13824字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：bae232357872f00ebc3ffa07a79ab7ef
特征描述：
    TrojanDownloader.Geral.bfo“变异体”变种bfo是“变异体”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种bfo运行后，会将被感染系统“%SystemRoot%\system32\”文件夹下的“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“opeB2.tmp”。另外，还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意驱动程序“prJvV.DRV”。“变异体”变种bfo运行时，会在被感染系统的后台连接骇客指定的站点“http://10.y*10.cn/mm/”，下载恶意程序“e4353609t.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“变异体”变种bfo会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月17日病毒播报：“视频宝宝”变种nlw和“萨斯风”变种hrw

英文名称：TrojanDropper.VB.nlw
中文名称：“视频宝宝”变种nlw
病毒长度：64931字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：e1f0c424d8ba88e556fa4f8c4634c0c1
特征描述：
    TrojanDropper.VB.nlw“视频宝宝”变种nlw是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种nlw运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“SafeM.dll”，在“%SystemRoot%\”文件夹下释放配置文件“info.ini”，并在收藏夹中加入指向“www.o*86.com”的Internet快捷方式，从而提高该站点的访问量，给骇客带来了非法的经济利益。“视频宝宝”变种nlw运行时，会在被感染系统的后台秘密窃取当前系统的配置信息，然后按照骇客指定的URL“www.37*dd.com/tj/u/z/MainPage.txt”下载恶意程序并调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“视频宝宝”变种nlw会通过将自身注册成BHO（Browser Helper Object，浏览器辅助对象）的方式实现随IE浏览器的启动而加载运行的目的。

英文名称：Trojan/Sasfis.hrw
中文名称：“萨斯风”变种hrw
病毒长度：729600字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：4ed07cb304f6df7a65f8733c723646d4
特征描述：
    Trojan/Sasfis.hrw“萨斯风”变种hrw是“萨斯风”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“萨斯风”变种hrw的图标会被伪装成jpg图片样式，以此诱骗用户点击运行。“萨斯风”变种hrw运行后，会自我复制到被感染系统的“%SystemRoot%\”文件夹下，重新命名为“360safa.com”。“萨斯风”变种hrw运行时，会在被感染系统后台秘密窃取当前系统的配置信息，然后从骇客指定的站点下载其它恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，从而给用户造成不同程度的威胁。另外，“萨斯风”变种hrw会在被感染计算机中注册名为“Secondary Logon”的系统服务，以此实现木马的开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月18日病毒播报：“恶推客”变种dzy和“BHO劫持者”变种asx

英文名称：Trojan/Pincav.dzy
中文名称：“恶推客”变种dzy
病毒长度：28996字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：bb2fa597539db14e161a8db7f7d51842
特征描述：
    Trojan/Pincav.dzy“恶推客”变种dzy是“恶推客”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“恶推客”变种dzy运行后，会将被感染系统“%SystemRoot%\system32\”文件夹下的“dsound.dll”重新命名为“dsound.dlldmWti”，之后在“%SystemRoot%\system32\”文件夹下释放恶意文件“dsound.dll.mod”，然后将其重新命名为“dsound.dll”，并分别复制到“%SystemRoot%\system32\”、“%SystemRoot%\system\”和“%SystemRoot%\system32\dllcache\”文件夹下。另外，其还会在“%SystemRoot%\system\”文件夹下释放恶意驱动程序“MvKOu.DRV”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“恶推客”变种dzy是一个专门盗取“剑侠3”游戏账号的木马程序，其会将恶意代码注入到桌面进程中隐秘运行。秘密监视用户打开的所有网页窗口，一旦发现用户打开指定的登录页面，便会通过安装键盘钩子、鼠标钩子等方式截取用户输入的会员账号、密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使用户的账号丢失，从而造成不同程度的威胁。“恶推客”变种dzy还会通过自动访问指定的站点的方式，给骇客带来非法的经济利益。

英文名称：Adware/BHO.asx
中文名称：“BHO劫持者”变种asx
病毒长度：24576字节
病毒类型：广告程序
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：d5c58c89800d198a5609f13633981074
特征描述：
    Adware/BHO.asx“BHO劫持者”变种asx是“BHO劫持者”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“BHO劫持者”变种asx运行后，会在被感染系统的“\recycled\”文件夹下释放恶意程序“lip.dat”，之后会将“lip.dat”复制到“%SystemRoot%\system32\”文件夹下，重命名为“ndjnvj.dll”。“BHO劫持者”变种asx运行时，会定时弹出恶意广告网页，从而给用户造成不同程度的干扰。其还会从骇客指定的站点下载其它恶意程序并自动调用运行，致使用户面临着不同程度的威胁。“BHO劫持者”变种asx会在被感染计算机中注册名为“Iprip”的系统服务，以此实现广告程序的开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月19日病毒播报：“埃卡”变种r和“毒蝙蝠”变种lh

英文名称：TrojanDropper.Ekafod.r
中文名称：“埃卡”变种r
病毒长度：55296字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：6c67f051543539abcaabb0b0a500afef
特征描述：
    TrojanDropper.Ekafod.r“埃卡”变种r是“埃卡”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“埃卡”变种r运行后，会在被感染系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下分别释放恶意DLL组件“eodg3.dll”、“eodgt.dll”和“tata_1.dll”。释放完成后，原病毒程序会通过创建批处理文件“375519961O57540.bat”并调用执行的方式将自身删除，以此达到消除痕迹的目的。“埃卡”变种r会遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，便会尝试将其强行关闭，以此达到自我保护的目的。在被感染计算机系统的后台连接骇客指定的站点“www.f*download.com”，获取“恶意程序下载列表”，然后下载文件中所指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

英文名称：Trojan/BAT.lh
中文名称：“毒蝙蝠”变种lh
病毒长度：15220字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：355408c3f9f3602bf5296278e95e7ce8
特征描述：
    Trojan/BAT.lh“毒蝙蝠”变种lh是“毒蝙蝠”家族中的最新成员之一，采用“批处理”编写。“毒蝙蝠”变种lh运行后，会在被感染系统的“D:\soft\bat\v9.0\”文件夹下释放恶意文件“winnt32.exe”，并将其依次复制到“%SystemRoot%\system32\”、“%SystemRoot%\repair\”和“%SystemRoot%\”文件夹下，分别重新命名为“WinUpdate.exe”、“internet.exe”、“winu.exe”和“pat32.exe”。“毒蝙蝠”变种lh会在桌面上创建Internet快捷方式“资讯摘要”和“综合搜索”，诱导被感染系统用户进行访问，从而给骇客带来了非法的经济利益。“毒蝙蝠”变种lh还会在被感染计算机的后台强行篡改系统中的“hosts”文件，从而利用域名映像劫持特性来屏蔽被感染系统用户对大量常用站点的访问，由此给用户的正常网络操作造成了极大程度的干扰。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月20日病毒播报:“牧童”变种blp和“广告徒”变种gkw

英文名称：TrojanDropper.Mudrop.blp
中文名称：“牧童”变种blp
病毒长度：35328字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：22850d426fc7bf5080d8d9e40ca89398
特征描述：
    TrojanDropper.Mudrop.blp“牧童”变种blp是“牧童”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“牧童”变种blp运行后，会在被感染系统的“%Program Files%\atix\”文件夹下释放恶意文件“One.inf”和恶意DLL组件“One.dll”，还会在“%SystemRoot%\system\”文件夹下释放恶意驱动程序“One.sys”。在被感染系统的后台遍历正在运行的所有进程，如果发现某些指定的安全软件存在，便会尝试将其强行关闭，从而达到自我保护的目的。在被感染系统的后台连接骇客指定的远程站点“61.160.*.30”，获取恶意程序下载列表，然后下载文件中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“牧童”变种blp会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

英文名称：Trojan/Swisyn.gkw
中文名称：“广告徒”变种gkw
病毒长度：7680字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：a13e5c2fe7b932b1359cd82841684381
特征描述：
    Trojan/Swisyn.gkw“广告徒”变种gkw是“广告徒”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“广告徒”变种gkw运行后，会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“svchost.exe”（文件属性设置为“只读”）。“广告徒”变种gkw运行时，会在被感染系统的后台定时访问指定的恶意站点“www.5*2.com”，从而给骇客带来了非法的经济利益。另外，“广告徒”变种gkw会通过在被感染系统注册表启动项中添加键值的方式实现木马的开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月21日病毒播报：“友好客户”变种afva和“毒疤”变种rfr

英文名称：Backdoor/PcClient.afva
中文名称：“友好客户”变种afva
病毒长度：27136字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6f042beb9e195ea81622f2c440ebb24e
特征描述：
    Backdoor/PcClient.afva“友好客户”变种afva是“友好客户”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“友好客户”变种afva运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“zkjecg.dll”，在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放“00059172.tmp”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“友好客户”变种afva运行时，会将恶意代码注入到“svchost.exe”的内存空间中隐秘运行，以此隐藏自我。不断尝试与控制端（IP地址为：113.241.*.87 :2009）进行连接，一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作，其中包括文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等，从而给用户的信息安全甚至个人隐私构成严重的威胁。另外，“友好客户”变种afva会在被感染计算机中注册名为“zkjecg”的系统服务，以此实现开机自动运行。

英文名称：Trojan/Scar.rfr
中文名称：“毒疤”变种rfr
病毒长度：45056字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：303da48512b84506bb8fb5a4ac1ce2aa
特征描述：
    Trojan/Scar.rfr“毒疤”变种rfr是“毒疤”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“毒疤”变种rfr运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“dcvocc.exe”。之后原病毒程序会将自身删除，以此消除痕迹。“毒疤”变种rfr运行时，会在被感染系统的后台连接骇客指定的远程站点“61.147.*.20”，获取“恶意程序下载列表”，然后下载其中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

north_wolf

江民科技4月22日病毒播报：“变异体”变种bfw和“灰鸽子”变种aymr

英文名称：TrojanDownloader.Geral.bfw
中文名称：“变异体”变种bfw
病毒长度：35328字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：b85dd0a3625c929972235ab4ee70a811
特征描述：
    TrojanDownloader.Geral.bfw“变异体”变种bfw是“变异体”家族中的最新成员之一，采用高级语言编写。“变异体”变种bfw运行后，会在被感染计算机系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“winneh.ime”，在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放“dna9E.tmp”。在被感染系统的后台遍历当前正在运行的所有进程，一旦发现某些指定的安全软件存在，“变异体”变种bfw便会尝试将其强行关闭，以此达到自我保护的目的。在被感染系统的后台连接骇客指定的站点，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的威胁。

英文名称：Backdoor/Huigezi.aymr
中文名称：“灰鸽子”变种aymr
病毒长度：617824字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：31449b77699beefc1cc96c8aceeed817
特征描述：
    Backdoor/Huigezi.aymr“灰鸽子”变种aymr是后门家族的最新成员之一，采用Delphi语言编写，经过加壳保护处理。“灰鸽子”变种aymr运行后，会自我复制到被感染系统的“%SystemRoot%\”目录下重新命名保存（文件属性设置为“只读”、“隐藏”、“存档”）。“灰鸽子”变种aymr是一个反向连接远程控制后门程序，运行后会与骇客指定远程服务器（123.129.*.81）进行连接。骇客可以对被感染的计算机进行任意的远程控制，同时窃取用户系统中存储的各种信息等，从而对用户的个人私密信息造成不同程度的侵害。另外，“灰鸽子”变种aymr会将自身注册成系统服务，以此实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。
    9、如果您尚未安装江民杀毒软件，推荐您使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。