就他一个人在发一个人在看。。。。
kv2008保护密码功能设置
江民保护密码是KV2008为用户提供的一个保护电脑内数据和保护自身设置不被修改的一个小插件,虽说它小但是功能俱全,有了它你的KV更安全,有了它你再也不用怕U盘病毒了先大概的说一下KV2008的“保护密码”里边的七大保护
1.卸载江民杀毒软件
2.设置选项
3.退出监控程序
4.关闭监控状态
5.重装机备份
6.控制访问网站
7.移动设备存储
下面就这七大功能逐一进行介绍
1. 首先启动江民设置程序选择保护密码就会出现(图1)界面
[img]http://forum.jiangmin.com/UploadFile/2007-11/20071119161748709.jpg[/img]
2.先设置好密码
勾选 修改密码/设置新密码选项
出现输入密码选项(图2)
[img]http://forum.jiangmin.com/UploadFile/2007-11/20071119161749262.jpg[/img]
输入密码后单击确定
[img]http://forum.jiangmin.com/UploadFile/2007-11/20071119161749480.jpg[/img]
会提示密码修改成功(图3)这是说明你输入的密码已经成功了
下面我们就可以选择要输入密码的操作了
KV2008提供七项需要提供密码才能修改的选项:
[img]http://forum.jiangmin.com/UploadFile/2007-11/20071119161749440.jpg[/img]
现在详细说说每项功能的定义和使用效果
(1)卸载江民杀毒软件:本选项可以防止KV2008被卸载,当你要卸载KV2008是就需要输入验证密码(图5)密码正确后才能卸载和修复KV2008.
[img]http://forum.jiangmin.com/UploadFile/2007-11/20071119161749880.jpg[/img]
(2)设置选项:本选项开启后可以防止KV2008的设置程序被修改,当你要修改设置KV2008是就需要输入验证密码(图5)。密码正确后才能修改KV2008的设置选项。
(3)退出监控程序:本选项是在用户要退出KV2008的监控时候进行密码确认操作,当要退出江民监控的时候就会让用户输入验证密码(图5)。密码正确后才能修改KV2008的退出监控程序选项。
(4)关闭监控状态:本选项是在用户要关闭KV2008的所有监视时候进行密码确认操作,当要关闭江民监控的时候就会让用户输入验证密码(图5)。密码正确后才能修改KV2008的关闭监控状态选项。
(5)重装机备份:本选项是在用户要重装机备份KV2008时候进行密码确认操作,当要重装机备份监控的时候就会让用户输入验证密码(图5)。密码正确才能重装机备份操作。防止他人恶意备份你的KV2008 造成你的通行证信息泄漏.
(6)控制访问网站:当用户要访问网页黑名单里面的网站的时候江民就会提醒你图6,我如果还要访问的话就必须输入密码了(图7)(本功能必须开启KV2008的网页黑名单过滤功能和网页监视功能方能生效)本功能可以防止你的孩子浏览不健康的网站.(本功能需要从启您的电脑后方可生效)
[img]http://forum.jiangmin.com/UploadFile/2007-11/20071119161823620.jpg[/img]
[img]http://forum.jiangmin.com/UploadFile/2007-11/20071119161823226.jpg[/img]
(7)移动设备存储:本功能可保护你的计算机免受U盘类病毒威胁和保护你电脑内重要资料被到的危险,当开启本功能后,当你插入U盘、mp3或移动硬盘等存储设备时,在进行读取或写入操作的时候功能功能会提示你输入密码(图8)还可以设置有效的时间。强烈建议您打开本功能。(本功能需要从启您的电脑后方可生效)
[img]http://forum.jiangmin.com/UploadFile/2007-11/20071119161823685.jpg[/img]
本功能的开启还可以管理查看日志功能:江民杀毒软件“查看”-〉“历史记录”下的“移动设备存储控制”。(图9) 当然查看记录文件也需要密码。
建议大家不要在开启本功能后在U盘上进行文档编辑工作,因为如果设置里有效时间到期后可能发生无法保存文档的情况。对您的工作造成不必要的麻烦。
[img]http://forum.jiangmin.com/UploadFile/2007-11/20071119161823644.jpg[/img]
北京网络行业协会、江民科技联合发布11月12日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanSpy.Magania.dhx“玛格尼亚”变种dhx和Trojan/VB.esu“视频宝宝”变种esu值得关注。英文名称:TrojanSpy.Magania.dhx
中文名称:“玛格尼亚”变种dhx
病毒长度:81408字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Magania.dhx“玛格尼亚”变种dhx是“玛格尼亚”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“玛格尼亚”变种dhx是一个专门盗取“封印簡訊Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。同时,“玛格尼亚”变种dhx还具有窃取玩家游戏账号密码保护信息的功能,因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码,否则会连同您的密码保护资料一同被骇客盗取,给您造成更大程度的损失。另外,“玛格尼亚”变种dhx会通过在启动项中添加键值的方式实现木马开机自启动。
英文名称:Trojan/VB.esu
中文名称:“视频宝宝”变种esu
病毒长度:75872字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/VB.esu“视频宝宝”变种esu是“视频宝宝”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“视频宝宝”变种esu运行后,会自我复制到被感染计算机系统的指定目录下重新命名保存,修改注册表,实现开机的自动运行。秘密连接骇客指定的服务器站点“http:/www.c***i*g.com/c*a.mdb”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。在被感染计算机系统的后台连接骇客指定的站点“http://zc***dl.zco***c.com/union/”,下载恶意程序“ZcomMagSubscribe-200-16343.exe”并自动调用运行。其中,所下载的恶意程序为某款“电子杂志书刊”,骇客利用该途径来取得非法的经济利益,同时会给感染用户造成不同程度的影响。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。
4、江民杀毒软件拥有强大的自防御体系,能有效阻止“驱动级病毒”关闭和破坏杀毒软件,确保杀毒软件所有功能的完全发挥,为保障系统和数据安全打好了坚实的基础。
5、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
6、发现自己的游戏账号被盗时,请千万不要在当前被感染的计算机上找回游戏密码,否则会连同您的密码保护资料一同被骇客盗取。
7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:[url]http://online.jiangmin.com/chadu.asp[/url]
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站[url]http://www.jiangmin.com[/url]进行在线查阅。
奥运网络专家挫败藏独“病毒战”
北青网-北京青年报讯 从表面上看,整个奥运会期间,互联网安全方面很平静,但为了实现这个目标,我国的网络安全专家们做出了巨大努力。昨天,第29届奥运会组委会技术部特聘的信息网络安全专家王江民对外透露,奥运会期间,奥运网络安全保卫小组曾在网上截获藏独分子发送的病毒,并向国家主管部门进行上报,迅速及时地做出了相应处理。据王江民介绍,奥运会期间,江民奥运网络安全保卫小组的成员一直都分三班,24小时值守机房,监控各套监测系统运行情况。8月18日,江民奥运网络安保小组副组长,也是公安部第29届奥运会网络安全指挥部技术保障专家何公道在对江民全球病毒监控系统截获的上万个可疑文件的分析中发现,有几个WORD和PPT文档很是可疑。他想打开看看这些文档是什么内容,可是双击文档图标后,WORD界面在眼前一闪,就什么也看不见了!何公道凭十多年的反病毒经验感觉,这些文档里面肯定有文章。
随后,何公道将这些文档放入编译器生成二进制的源代码。果然,在WORD文件里发现有可执行的代码,双击文档其实也就是在运行这些可执行文件。再细看一下——病毒指向的竟然是境外的藏独网站,同时在这些文档里还发现了大量的藏独反动图片、策划藏独活动的地点、联系人、联系方式等。如果病毒作者将这些文档通过蠕虫病毒的方式自动发送,或者他们将这些文档伪装成正常文档放在网站供人下载,后果将不堪设想。何公道马上提取了病毒代码,立即升级了杀毒软件病毒库,并向国家主管部门进行了上报。“由于处理得迅速及时,这些资料和病毒再也没有在网上出现过。”
王江民还介绍说,江民奥运网络安全保卫小组在公安部以及国家计算机病毒应急中心的共同努力下,还研发出了“互联网恶意挂马网页监控系统”。该系统在运行后,不仅对奥运相关网站、政府、行政事业单位网站进行重点侦测,还对Alexa排名2万名以内的网站进行针对性的侦测。因为这些网站访问量巨大,网页一旦被挂上木马,很有可能引起大规模的病毒疫情。“这套系统投入后,到奥运结束,安保小组共向上级主管机关上报恶意网址6000多个,其中包括假冒‘2008北京奥运’等网站。”
“这次打击制作和传播计算机病毒的力度和范围前所未有,对病毒作者的震慑作用十分巨大,北京奥运会网络安全能够比较平静,也正是安保部门和各大技术支持单位未雨绸缪,将大量的预防工作做在前面的结果。” 王江民说。
北京网络行业协会、江民科技联合发布11月13日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Inject.cch“植木马器”变种cch和Trojan/FraudPack.md“诈骗箱”变种md值得关注。英文名称:Trojan/Inject.cch
中文名称:“植木马器”变种cch
病毒长度:35840字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Inject.cch“植木马器”变种cch是“植木马器”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL组件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“植木马器”变种cch是一个专门盗取网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。利用域名映像劫持功能,在被感染计算机的后台强行篡改系统中的Hosts文件,屏蔽一些网络游戏站点,并将这些站点的解析地址指向“***.***.11.59”,从而使这些游戏的玩家在密码被窃后无法通过登录相应的网站找回自己的密码。另外,“植木马器”变种cch会向系统注册表启动项中添加键值来实现开机的自启动。
英文名称:Trojan/FraudPack.md
中文名称:“诈骗箱”变种md
病毒长度:69120字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/FraudPack.md“诈骗箱”变种md是“诈骗箱”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“诈骗箱”变种md运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存。修改系统注册表,实现木马随开机自动运行。在被感染计算机后台秘密窃取用户当前所用系统的配置信息,然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成一定程度的威胁。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。
4、江民杀毒软件拥有强大的自防御体系,能有效阻止“驱动级病毒”关闭和破坏杀毒软件,确保杀毒软件所有功能的完全发挥,为保障系统和数据安全打下了坚实的基础。
5、江民杀毒软件新增“沙盒”技术,“沙盒”系统在本机上接管与系统接口(API)相关的所有行为,如发现系病毒行为,则会执行“回滚”机制,将病毒执行的动作和留下的痕迹抹去,恢复系统到正常状态。
6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
7、发现自己的游戏账号被盗时,请千万不要在当前被感染的计算机上找回游戏密码,否则会连同您的密码保护资料一同被骇客盗取。
8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:[url]http://online.jiangmin.com/chadu.asp[/url]
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站[url]http://www.jiangmin.com[/url]进行在线查阅。
新病毒冒充系统更新程序 Real蛀虫利用漏洞传播
江民反病毒中心提醒,在上周截获的病毒中,“BHO劫持者”变种cmp病毒和“Real蛀虫”变种af病毒值得引起关注。“BHO劫持者”变种cmp病毒运行后,会将自身伪装成Windows系统更新程序,在文件属性中将自身描述为:Windows Updater,公司为:Microsoft,迷惑用户。同时该病毒还会秘密连接骇客指定的服务器站点,侦听骇客指令,在被感染计算机上执行恶意操作。骇客可以通过该病毒完全控制被感染计算机系统,使其成为骇客手中的肉鸡,给用户计算机安全和个人隐私带来严重的威胁,对商业机密造成无法挽回的损失。
另外上周监测到一个利用“RealPlayer”媒体播放器漏洞传播其它病毒的“Real蛀虫”变种af病毒,该病毒一般内嵌在正常网页中,如果用户计算机没有及时修补“RealPlayer”相应的漏洞补丁,那么当用户使用浏览器访问带有“Real蛀虫”变种af的恶意网页时,就会在当前用户计算机的后台秘密连接黑客指定的服务器站点,下载大量网游木马、流氓软件、病毒后门等恶意程序,给用户带来严重的损失。
江民反病毒专家建议广大用户,一定要将“RealPlayer”媒体播放升级到最新版本,同时补齐系统漏洞,上网时要开启江民杀毒软件的实时监控功能。同时专家特别指出,由于病毒普遍采用了较为先进的隐藏技术,普通的安全工具软件根本无法查出,因此千万不要因为已经安装了网上免费的安全工具软件而掉以轻心,给自己的财产带来巨大的损失。一定要选用具备“智能主动防御”和“内核级自我保护”功能的杀毒软件,全新上市的江民杀毒软件KV2009具有启发式扫描、“沙盒”(Sandbox)技术、虚拟机脱壳、内核级自我保护等众多领先的计算机反病毒技术,可有效防御病毒于系统之外。
北京网络行业协会、江民科技联合发布11月14日病毒播报
江民今日提醒您注意:在今天的病毒中Backdoor/Shark.zp“鲨鱼门”变种zp和Rootkit.Vanti.gde“顽梯”变种gde值得关注。英文名称:Backdoor/Shark.zp
中文名称:“鲨鱼门”变种zp
病毒长度:386560字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Backdoor/Shark.zp“鲨鱼门”变种zp是“鲨鱼门”后门家族中的最新成员之一,采用“Delphi”语言编写,并且经过加壳保护处理。“鲨鱼门”变种zp运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,文件属性设置为:系统、隐藏、存档。“鲨鱼门”变种zp属于反向连接后门程序,会在被感染计算机系统的后台连接骇客指定的远程服务器地址“***.***.139.121:8060”,获取远程控制端真实地址,然后侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视和控制等功能,它可以对文件进行任意操作、监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可能会窃取用户计算机中存放着的机密信息,修改或删除这些机密资料,给用户的信息安全带来严重的威胁,甚至为商业机密造成无法挽回的损失。用户计算机一旦感染了“鲨鱼门”变种zp便会变成网络僵尸傀儡主机,骇客会利用被感染的计算机对任意重要服务器站点进行DDoS攻击、洪水攻击等。另外,“鲨鱼门”变种zp会通过在被感染计算机中注册一个名为“Microsoft VC80 MFCLOC”的系统服务来实现开机自动运行。
英文名称:Rootkit.Vanti.gde
中文名称:“顽梯”变种gde
病毒长度:9216字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Rootkit.Vanti.gde“顽梯”变种gde是“顽梯”木马家族中的最新成员之一,是一个采用内核级Rootkit技术编写的恶意驱动程序,未经加密保护。“顽梯”变种gde在用户计算机系统中运行后,利用高级Rootkit技术(内核级的钩子“SSDT HOOK”与“FSD HOOK”)隐藏病毒进程、病毒文件和病毒在注册表中的启动项等特征信息,防止被安全软件所查杀,以达到更好的隐藏自我的目的。同时,该病毒还会在被感染计算机系统的后台阻止“Sysinternals Process Explorer”进程管理软件的运行。该恶意驱动程序属于某病毒中的一个功能模块,伴随着该恶意驱动程序的感染,还会有其它恶意程序被一同安装到计算机系统中。用户的计算机系统一旦感染了该病毒,则很难清除干净。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。
4、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值,并能够有效阻止病毒利用HOOK技术破坏系统文件,防御病毒于系统之外,更好地保护用户计算机的安全。
5、江民杀毒软件拥有强大的自防御体系,能有效阻止“驱动级病毒”关闭和破坏杀毒软件,确保杀毒软件所有功能的完全发挥,为保障系统和数据安全打下了坚实的基础。
6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:[url]http://online.jiangmin.com/chadu.asp[/url]
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站[url]http://www.jiangmin.com[/url]进行在线查阅。
kv2008的自我保护检测
众所周知现在杀毒软件的原理都是找病毒样本,提出病毒代码,加入病毒库,之后杀毒可以轻松查杀,但对于病毒的日渐产业化,木马,流氓软件的日新月异,杀毒软件起到了为用户“遮风挡雨”的作用。对末知病毒的防御效果就理所当然的成为现在杀毒软件比拼技术的焦点,在这些杀毒软件里我认为江民kv2008杀毒软件是做的相当不错的。图1[img]http://www.jiangmin.com/images/08bgao161.jpg[/img]
Kv2008作为江民公司奥运年推出的优秀杀毒软件新品,在界面上有了很大改观,也给了用户很好的体验。
这里,笔者编辑了一个程序并执行一些病毒通常具备的功能,具体如下
1.尝试结束江民杀毒软件监控kvsrvxp.exe kvxp.kxp(或获得江民kv2008的窗口句柄用以关闭)
2.尝试程序本身写入注册表自启动;
3.尝试写入shell以实现windows窗口附带启动;
4.尝试复制程序本身到c:\windows\system32文件夹;
5.尝试键盘记录。
(注:这些只是基本的病毒盗取资料方法,本文意在说明江民杀毒软件功能状况,与病毒制作无关系)
下面先进行杀进程尝试:图2、3
[img]http://www.jiangmin.com/images/08bgao162.jpg[/img]
[img]http://www.jiangmin.com/images/08bgao163.jpg[/img]
结果显示无论在进程管理器里,还是程序都无法强制结束江民的进程,这无疑是用户的福音。因为如此强大的自我保护机制,可以保证其监控程序无法被其他程序强制结束,在随后的捕获窗口句柄的测试中也无法找到江民杀毒软件的窗口句柄(因为江民用新技术动态生成窗口)。江民杀毒软件KV2008采用窗口保护以及进程保护技术,的的确确保证了用户的安全。
如果系统关键位置复制或对注册表关键位置进行修改,江民KV又是如何处理的呢?图4
[img]http://www.jiangmin.com/images/08bgao164.jpg[/img]
当程序想自我复制到system32文件夹时候江民给出提示,此时可以点禁止,来阻止复制,也可以结束不明程序,给了用户很大的自主性。图5
[img]http://www.jiangmin.com/images/08bgao165.jpg[/img]
当修改SHELL时候江民也给出提示,用户可阻止不明程序,防止对注册表进行破坏。
最后,用于自启动的注册表写入和键盘监视也被江民杀毒软件成功拦截。由此可见,江民杀毒软件KV2008在未知病毒防御体系上做得很成功,也很到位,能提供给用户完全的保护。
对于普通用户完全可以使用江民自带的规则进行保护,而对于高级用户则可以自定义对注册表的保护。图6、7
[img]http://www.jiangmin.com/images/08bgao166.jpg[/img]
[img]http://www.jiangmin.com/images/08bgao167.jpg[/img]
更可以通过图标判断,让用户更加放心。对电脑比较了解的用户进行高级设置,能够对系统进行加固,防止病毒文件自我复制到系统目录。图8
只要我们常用江民漏洞检查工具进行系统漏洞修复,加上江民本身的强大杀毒能力和防御能力,相信可以打造一个“百毒不侵”的系统。
作为用户,我们平时注意不要访问不明网站,不使用不明的移动存储器,加上定期查毒的良好习惯,一定会使我们的系统摆脱病毒的困扰。
这里正应了一句俗话说的“好马配好鞍”。当你有一台性能出色的计算机,也应该使用一个性能出色、功能强大的杀毒软件。
电脑有价,数据无价,相信我们会逐步地摆脱计算机病毒的困扰。
北京网络行业协会、江民科技联合发布11月15日病毒播报
江民今日提醒您注意:在今天的病毒中Worm/AutoRun.dnq“U盘寄生虫”变种dnq和TrojanSpy.Pophot.bzq“焦点间谍”变种bzq值得关注。英文名称:Worm/AutoRun.dnq
中文名称:“U盘寄生虫”变种dnq
病毒长度:26529字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.dnq“U盘寄生虫”变种dnq是“U盘寄生虫”蠕虫家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“U盘寄生虫”变种dnq运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放“EXPL0RER.EXE”、“wsctf.exe”等多个恶意程序。在被感染计算机系统的后台监视程序窗口标题名称,如发现带有“跑跑卡丁车”、“魔兽”、“魔兽世界”、“梦幻”、“CS”等字符串的应用程序则将其强行关闭,使得这些游戏无法正常运行。“U盘寄生虫”变种dnq会在被感染计算机系统中所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”(自动播放配置文件)和病毒主程序文件“EXPLORER.EXE”(“U盘寄生虫”变种dnq),文件属性设置为“系统、隐藏、只读、存档”,以实现双击盘符激活“U盘寄生虫”变种dnq,从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,给计算机的信息安全带来了潜在的威胁。另外,“U盘寄生虫”变种dnq也会通过在被感染计算机启动项中添加键值的方式来实现开机自动运行。
英文名称:TrojanSpy.Pophot.bzq
中文名称:“焦点间谍”变种bzq
病毒长度:29696字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.bzq“焦点间谍”变种bzq是“焦点间谍”间谍类木马家族中的最新成员之一,采用Delphi语言编写,经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL文件,通过修改注册表启动项来实现开机的自启动。“焦点间谍”变种bzq运行后,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在后台执行恶意操作,隐藏自我以防止被安全软件查杀。在被感染计算机的后台秘密监视正在运行的所有窗口标题,一旦发现标题中存在与安全相关的字符串(如“安全警告”、“IE保护”、“主动防御”等)的窗口,便会强行向其进程循环发送垃圾消息,试图使其出错关闭或自动退出,从而达到自我保护的目的。在被感染计算机系统的后台连接骇客指定的远程服务器站点,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户带来不同程度的损失。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。
4、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区,而是通过资源管理器中左侧的“树形目录”或在地址栏中输入盘符的方式进行访问。
5、江民杀毒软件拥有强大的自防御体系,能有效阻止“驱动级病毒”关闭和破坏杀毒软件,确保杀毒软件所有功能的完全发挥,为保障系统和数据安全打下了坚实的基础。
6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
7、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值,并能够有效阻止病毒利用HOOK技术破坏系统文件,防御病毒于系统之外,更好地保护用户计算机的安全。
8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:[url]http://online.jiangmin.com/chadu.asp[/url]
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站[url]http://www.jiangmin.com[/url]进行在线查阅。
杀毒软件如何选择
关于使用杀毒软件保护系统安全的问题,目前存在着两种极端:一种认为杀毒软件的实时监控会占用大量系统资源,影响系统运行速度,所以干脆不安装任何杀毒软件以换取系统性能;一种则是把计算机安全环境考虑得过于严峻,于是把杀毒软件、防火墙、反木马程序、隐私保护程序一股脑的安装到系统中,惟恐系统保护得不够严密。但草木皆兵不但耗费了大量的系统资源,多少还会影响使用电脑的心情。其实我们完全可以采用功能强大,系统资源占用少的防病毒软件,再加以合理的设置,这样既可以保证系统的安全,又能解决系统资源占用过多的矛盾。选择优秀的杀毒软件
功能强大和占用资源少一直是杀毒软件的一对矛盾,好像既要马儿跑,又要马儿不吃草的味道。不过目前的杀毒软件都兼顾到了这两点,如卡巴斯基和江民的KV系列杀毒软件,对于系统内存的占用在大多数情况下只有数百KB到数MB之间,这么少的系统资源消耗对于目前的绝大多数电脑来说都开销得起。
合理设置实时监控
现有的网络病毒十分猖獗,对安全的威胁来自多方面,这就需要杀毒软件具备多项实时监控能力。以KV2006为例,它的实时监控就包括了文件监视、邮件监视、隐私保护、木马/注册表监视、网页监视等七项,如果把它们全部打开的话资源消耗自然小不了。一般来说,文件监视和网页监视是必不可少的,而像邮件监视这样的项目,如果很少收发邮件或只使用Web方式收发邮件,完全可以关闭它。其它的监视项目可以根据自己的实际情况来取舍。
优化杀毒速度
现在的硬盘堪称海量,存储的数据量也十分庞大,杀毒软件全面扫描一次耗时很长(如卡巴斯基),让人觉得等起来很累,这也是许多人不愿意用杀毒软件的原因。其实,只要我们留意一下杀毒软件的选项,就可以发现杀毒速度是可以提高的。
在KV的“江民杀毒软件方案编辑器”中有一个“扫描目标”选项卡.我们可以把“解压检查”取消,因为软件检查压缩包的耗时非常长。即使压缩包中有病毒,病毒也不会发作,当把病毒解压出来的时候也会被实时监控检测到,对系统安全不会构成威胁。基于同样的道理,我们还可以在“文件过滤”选项中,增加一些扫描排除文件类型,如ISO镜像文件,MPG、AVI等视频文件,MP3等音频文件,JPG等图像文件,这些文件在电脑中为数不少,而带毒的可能性却比较小。经过这样的设置,杀毒软件的扫描速度会得到大幅的提高。
选择合适的查毒时机
对任何杀毒软件来说,杀毒都是一项费时费力的活儿,而很多杀毒软件在安全上考虑得比较保守,默认设置大都是一天查一次病毒。对普通用户来说,这确实有些多余,一周查一次就足够了。另外,像KV2006和金山毒霸等软件,都具备屏保查毒功能/我们不妨开启这项功能,让软件在电脑空闲的时候自动查杀病毒,这样可做到工作杀毒两不误。KV2006还有“智能提速”功能,开启该功能后在第一次扫描病毒时会花较多时间,但以后就可以大幅提高扫描速度了,因为杀毒软件会自动跳过一些它认为不会感染病毒的文件,速度自然就快了。
关于kv提示系统文件被改变的提示
我发现很多朋友对“系统文件被改变”的提示感到疑惑,常常是看到这个提示就以为系统中了病毒。其实,出现这种提示并不表明系统中了病毒,就只是表明系统文件有了某些改变而已——通常在 Windows 更新或安装了软件之后就会有提示,当然有害程序(病毒、木马)也会改变系统文件。出现提示完全没必要如临大敌,试一试泰然处之吧。“系统文件被改变”提示的出现是因为在“设置”→“系统监控”中打开了“检查 Windows 系统文件的完整性”功能选项。
该功能的主要作用并不是阻止系统文件改变,而是告知用户系统文件夹内(或已定义的一个系统文件清单内)文件的变化情况,以引起注意。具有不同电脑使用水平的用户可依据经验、对常见 Windows 系统文件的了解程度——更主要的是查看被提示改变的文件的属性来确认是不是异常。对被提示改变的文件也可以用专门的文件数字签名验证程序进行校验,比如 SREng 作者 Smallfrogs 的“文件数字签名验证程序”扩展工具(需要单独从作者网站下载)。
发生“系统文件被改变”提示时,提示窗口中有两个按钮“接受”和“以后再说”。点击“接受”按钮,则将在 KV2007 已定义的信任文件库中更新相应文件的信息,在文件未被再次改变前不再弹出“系统文件被改变”的提示;点击“以后再说”按钮,不更新信任文件库信息,还会在一定时间间隔内提示用户系统文件被改变的信息。
发生“系统文件被改变”提示的同时,KV2007 会自动在<我的文档>→<江民杀毒软件>→<系统文件信息.txt>文本文件中保存记录,以备用户在需要的时候进行复查。
北京网络行业协会、江民科技联合发布11月16日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanSpy.Magania.els“玛格尼亚”变种els和Packed.Krap.aau“卡拉蜜”变种aau值得关注。英文名称:TrojanSpy.Magania.els
中文名称:“玛格尼亚”变种els
病毒长度:34816字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Magania.els“玛格尼亚”变种els是“玛格尼亚”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL文件,一般会被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程和几乎所有用户级权限的进程中加载运行,以达到自我保护的目的。“玛格尼亚”变种els运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“gdipro.dll”。在相同目录下释放病毒文件“sys17002.dll”,还会在“%SystemRoot%\system32\drivers\”目录下释放另一个病毒文件“hm17002.sys”。“玛格尼亚”变种els是一个专门盗取“QQ华夏Online”、“地下城与勇士 Online”等网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的账号信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。同时,“玛格尼亚”变种els还具有窃取游戏账号密码保护的功能,因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在当前被感染的计算机上登陆网游官方网站去找回游戏密码,否则会连同密码保护资料一同被骇客所窃取,造成更大的损失。该病毒还会在被感染计算机的后台强行篡改系统中的Hosts文件,从而达到阻止用户在账号丢失后找回密码的目的。“玛格尼亚”变种els利用进程守护技术来实现对自我的保护。该病毒会通过替换系统文件“rpcss.dll”来实现开机的自启动,如果安全软件直接删除该病毒文件,会导致被感染计算机出现无法连接网络、系统复制粘贴功能失效、桌面程序“explorer.exe”启动缓慢等现象,严重干扰了用户对计算机系统的正常使用。
英文名称:Packed.Krap.aau
中文名称:“卡拉蜜”变种aau
病毒长度:85504字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Packed.Krap.aau“卡拉蜜”变种aau是“卡拉蜜”木马家族中的最新成员之一,采用高级语言编写,经过加壳保护处理,并通过修改注册表来实现开机自动运行。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被查杀。“卡拉蜜”变种aau运行时,在被感染计算机的后台秘密监视正在运行的所有窗口标题,一旦发现标题中存在与安全相关的字符串,便会强行向其所在进程循环发送垃圾消息,试图使其出错关闭或自动退出,达到自我保护的目的。“卡拉蜜”变种aau是一个盗取“冒险岛Online”、“骑士Online”、“丝路传说”等网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。另外,“卡拉蜜”变种aau具有自我更新的功能。
北京网络行业协会、江民科技联合发布11月17日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Hijacker.az“强盗”变种az和Trojan/PSW.OnLineGames.vnh“网游窃贼”变种vnh值得关注。英文名称:Trojan/Hijacker.az
中文名称:“强盗”变种az
病毒长度:15360字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Hijacker.az“强盗”变种az是“强盗”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL组件,一般会被注入到系统桌面程序“explorer.exe”、“csrss.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被查杀。“强盗”变种az是一个专门盗取“大话西游III Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。另外,“强盗”变种az会通过在被感染系统注册表启动项中添加键值的方式来实现开机自启动。
英文名称:Trojan/PSW.OnLineGames.vnh
中文名称:“网游窃贼”变种vnh
病毒长度:25654字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.vnh“网游窃贼”变种vnh是“网游窃贼”木马家族中的最新成员之一,采用“VC++ 6.0”编写,并且经过加壳保护处理。“网游窃贼”变种vnh运行后,自我复制到“%SystemRoot%\Fonts”目录下,以随机字符重新命名保存。同时,还会在相同目录中释放一个随机文件名的DLL病毒文件。修改注册表,以实现开机的自动运行。“网游窃贼”变种vnh会在被感染计算机的后台遍历当前系统中运行的所有进程,一旦发现某些指定的安全软件便会尝试强行将其关闭,从而达到自我保护的目的。在被感染计算机系统的后台连接骇客指定的服务器站点并获取恶意程序下载列表,然后在被感染计算机上下载列表中的所有恶意程序并自动调用执行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会对用户的信息安全和自身合法权益造成严重的威胁与侵害。
【KV2009新功能】认真填写KV2009的联系方式 方便技术支持
大家再安装KV时是会看到这个界面↓[img]http://bbs.jiangmin.com/UploadFile/2008-11/2008118191921305.jpg[/img]
建议您填写,为什么呢?
软件不可能不出问题的,但是出了问题,要以最快的时间解决是主要的!
如果我们不填写这个详细信息,或者填写的是虚假的,我们遇到KV问题,或者说软件自检发现问题时官方都不能跟您联系上,这样势必影响KV在您的电脑上使用,以及您对官方的印象!
填写详细信息请大家放心,官方不会泄漏用户信息隐私,填写软件联系方式就好比我们买商品时要填写的联系信息是一样的,我们买许多软件都是要填写信息的,这个请大家放心,江民不会收集用户信息隐私信息,也不会泄漏任何用户信息!
我们填写信息后,KV会在安装后发送一份技术支持信息,以便诊断目前系统状态,如果用户发现电脑软件不正常了,可以打开Kv的主界面→服务→帮助中心→点击“技术支持”
看图↓
[img]http://bbs.jiangmin.com/UploadFile/2008-11/2008118192115547.jpg[/img]
点击这里后,会出现这个界面↓
[img]http://bbs.jiangmin.com/UploadFile/2008-11/2008118192159868.jpg[/img]
我们填写详细信息后点击 手动发送或者自动发送报告到客服 都可以
我们可以等待官方的反馈和解决办法!
如果官方自动反馈信息后我们没有即使查看时我们如何日后查看呢,请看下图↓
[img]http://bbs.jiangmin.com/UploadFile/2008-11/2008118192315505.jpg[/img]
点击后我们就可以通过浏览器查看官方给我们的反馈结果↓
[img]http://bbs.jiangmin.com/UploadFile/2008-11/2008118192359353.jpg[/img]
[img]http://bbs.jiangmin.com/UploadFile/2008-11/2008118192419724.jpg[/img]
北京网络行业协会、江民科技联合发布11月18日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.QQPass.udq“QQ大盗”变种udq和TrojanDownloader.JS.Agent.iy“代理木马”变种iy值得关注。英文名称:Trojan/PSW.QQPass.udq
中文名称:“QQ大盗”变种udq
病毒长度:33397字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.udq“QQ大盗”变种udq是“QQ大盗”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ大盗”变种udq运行后,会在被感染计算机系统的“%ProgramFiles%\Internet Explorer\PLUGINS\”目录下释放两个DLL病毒文件“321Nt64.Jmp”和“321Nt64.987”。其中,病毒文件“321Nt64.987”一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,执行恶意操作以防止被查杀。“QQ大盗”变种udq是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序,会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题,一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”,然后利用键盘钩子、内存截取或封包截取等技术盗取用户的账号信息,并将其发送到骇客指定的服务器上(地址加密存放),给用户造成了一定程度上的损失。另外,“QQ大盗”变种udq通过在注册表中添加启动项来实现开机的自动运行。
英文名称:TrojanDownloader.JS.Agent.iy
中文名称:“代理木马”变种iy
病毒长度:2571字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.JS.Agent.iy“代理木马”变种iy是“代理木马”木马下载器家族中的最新成员之一,采用“JavaScript”脚本语言编写,并经过多层加密保护。“代理木马”变种iy是一个利用“超星阅读器”漏洞传播其它病毒的脚本病毒。“代理木马”变种iy一般内嵌在正常网页中,如果用户计算机没有及时升级修补“超星阅读器”相应的漏洞补丁,那么当用户使用浏览器访问带有“代理木马”变种iy的恶意网页时,就会在当前用户计算机的后台连接骇客指定的远程服务器站点,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能是网游木马、流氓广告、后门等,会给被感染计算机用户造成不同程度的损失。
病毒强行关闭“跑跑卡丁车”等网游 玩家不胜其扰
11月17日,江民反病毒中心发布病毒警报,提醒用户谨防“鲨鱼门”变种zp病毒和“U盘寄生虫”变种dnq病毒。其中, “U盘寄生虫”变种dnq病毒能够强行关闭 “跑跑卡丁车”、“魔兽”、“魔兽世界”等热门网络游戏,导致许多网络游戏玩家无法正常登陆游戏,许多玩家在论坛上发帖怀疑是否是游戏服务器出了故障。“U盘寄生虫”变种dnq病毒经过加壳保护处理,会在被感染计算机系统后台监视程序窗口标题名称,一旦发现带有“跑跑卡丁车”、“魔兽”、“魔兽世界”、“梦幻”、“CS”等字符串的应用程序则将其强行关闭,使得这些游戏无法正常运行。同时该病毒会利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播,给计算机的信息安全带来了严重的威胁。
另外上周江民反病毒中心还监测到“鲨鱼门”变种zp病毒,病毒运行后会通过在被感染计算机中注册一个名为“Microsoft VC80 MFCLOC”的系统服务来实现开机自动运行,同时在后台秘密连接骇客指定的远程服务器,侦听骇客指令,从而达到被骇客远程控制的目的。用户计算机一旦感染了“鲨鱼门”变种zp就会变成网络僵尸傀儡主机,骇客可以对任意重要的服务器站点进行DDoS攻击、洪水攻击,严重影响网络安全。与此同时,该病毒还具有远程监视功能,可以对文件进行任意操作,监视用户的一举一动,窃取用户机密信息,给用户的信息安全带来严重威胁,甚至为商业机密造成无法挽回的损失。
江民反病毒专家建议广大用户,一定要选用具备“智能主动防御”和“内核级自我保护”功能的杀毒软件,及时补齐系统漏洞,上网时要开启江民杀毒软件的实时监控功能。同时专家特别指出,由于病毒普遍采用了较为先进的隐藏技术,普通的安全工具软件根本无法查出,因此千万不要因为已经安装了网上免费的安全工具软件而掉以轻心,给自己的财产带来巨大的损失。全新上市的江民杀毒软件KV2009具有启发式扫描、“沙盒”(Sandbox)技术、虚拟机脱壳、内核级自我保护等众多领先的计算机反病毒技术,可有效防御病毒于系统之外。
北京网络行业协会、江民科技联合发布11月19日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanSpy.OnLineGames.acoe“网游窃贼”变种acoe和TrojanSpy.Delf.dda“TrojanSpy.Delf”变种dda值得关注。英文名称:TrojanSpy.OnLineGames.acoe
中文名称:“网游窃贼”变种acoe
病毒长度:23040字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.OnLineGames.acoe“网游窃贼”变种acoe是“网游窃贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被安全软件查杀。“网游窃贼”变种acoe是一个专门盗取“QQ华夏Online”、“地下城与勇士 Online”等网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备等丢失,给游戏玩家带来不同程度的损失。同时,“网游窃贼”变种acoe还具有窃取玩家游戏账号密码保护的功能。因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码,否则会连同密码保护资料一同被骇客盗取,从而造成更大程度上的损失。该病毒还会在被感染计算机后台强行篡改系统Hosts文件,以阻止用户对某些网络游戏网站的访问,从而达到干扰用户在丢失账号后找回密码的目的。另外,“网游窃贼”变种acoe会修改注册表启动项,实现木马的开机自启动。
英文名称:TrojanSpy.Delf.dda
中文名称:“TrojanSpy.Delf”变种dda
病毒长度:19512字节
病毒类型:间谍类木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Delf.dda“TrojanSpy.Delf”变种dda是“TrojanSpy.Delf”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理,通过修改系统注册表来实现木马的开机自动运行。“TrojanSpy.Delf”变种dda运行后,会自我复制到被感染计算机系统的指定目录下重新命名保存,同时,还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个DLL病毒文件“hexvimes.dll”。调用网络浏览器,自动对“http://l**o.m*9*2.com/”进行访问,以提高这些恶意网站的访问量(网络排名),不仅给骇客带来了经济利益,而且还严重影响和干扰了用户对系统的正常操作。同时,该木马还会搜索QQ聊天窗口,并向当前正在聊天的好友发送带毒文件和不良信息。“TrojanSpy.Delf”变种dda主程序执行完毕后会进行自我删除。
北京网络行业协会、江民科技联合发布11月20日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/VB.etk“视频宝宝”变种etk和TrojanSpy.Pophot.cdb“焦点间谍”变种cdb值得关注。英文名称:Trojan/VB.etk
中文名称:“视频宝宝”变种etk
病毒长度:49152字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/VB.etk“视频宝宝”变种etk是“视频宝宝”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理。“视频宝宝”变种etk运行后,会自我复制到被感染计算机系统“%SystemRoot%\system32\system”目录下,并重新命名为“VirGear.exe”、“smss.exe”、“Gazette.exe”、“Gazerock.exe”、“Nugen.exe”。该病毒将自身图标伪装成视频文件的图标以诱骗用户点击,运行后病毒会调用Media Player播放器播放“clock.avi”视频文件,使用户误以为所点击的真的是一个视频文件而放松警惕。利用进程映像劫持来阻止某些安全软件的启动,达到自我保护的目的。强行破坏系统安全模式,使用户无法进入安全模式进行病毒的查杀。同时,会在被感染计算机中所有分区根目录下创建磁盘映像劫持文件“autorun.inf”(自动播放配置文件)和病毒主程序文件“Winamps.exe”(“视频宝宝”变种etk),以实现双击盘符后激活“视频宝宝”变种etk的目的。该病毒还可以利用U盘等移动存储设备进行自我传播,会给计算机用户带来潜在的威胁。另外,“视频宝宝”变种etk可能会在被感染计算机系统的后台连接骇客指定的远程服务器站点,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。
英文名称:TrojanSpy.Pophot.cdb
中文名称:“焦点间谍”变种cdb
病毒长度:29696字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.cdb“焦点间谍”变种cdb是“焦点间谍”间谍类木马家族中的最新成员之一,采用“Delphi”语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL病毒文件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被安全软件查杀。“焦点间谍”变种cdb运行后,会在被感染计算机的后台秘密监视正在运行的所有窗口标题,一旦发现标题中存在与安全相关的字符串(如“安全警告”、“IE保护”、“主动防御”等),便会强行向其进程循环发送垃圾消息,试图使其出错关闭或自动退出,从而达到自我保护的目的。连接骇客指定的站点,下载恶意程序并调用执行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,为信息安全埋下了诸多隐患。另外,“焦点间谍”变种cdb会在被感染计算机系统注册表启动项中添加启动键值,以实现木马的开机自启动。
“6767攻击机” MS08-067漏洞再遭病毒攻击
11月18日,江民反病毒中心监测到,一利用Windows系统MS08-067漏洞原理编写而成的具有破坏性攻击的恶意工具在网上出现,该恶意攻击程序会自动下载“6767.exe”恶意程序,因此被命名为“6767攻击机”。骇客利用“6767攻击机”向指定的计算机发送特制的“RPC”请求,不经身份验证,即可在存在漏洞的远程计算机中运行任意恶意代码。受该恶意程序影响的系统包括“Microsoft Windows 2000”、“Windows XP”和“Windows Server 2003”等操作系统。江民反病毒专家介绍,MS08-067漏洞目前已经被骇客用于蠕虫攻击等事件中,被攻击的计算机会自动下载骇客指定远程服务器站点“http://**.ushealthmart.com/download/”上的恶意程序“6767.exe”,并调用运行,所下载的恶意程序可能为网络游戏盗号木马、远程控 制后门或恶意广告程序(流氓软件)等,可能给电脑用户带来严重损失。
江民反病毒专家强烈建议广大用户立即使用杀毒软件中“系统漏洞修复”功能,及时修补Windows系统MS08-067漏洞;企业级用户需要装备企业级杀毒软件,安装并合理配置防火墙,保护企业网络资源免受从企业外部发起的恶意攻击。
网络钓鱼的防范方法
1、个人与机构应该分别做哪些防范?对个人用户的建议:
1、提高警惕,不登录不熟悉的网站,键入网站地址的时候要校对,以防输入错误误入狼窝,细心就可以发现一些破绽。
2、不要打开陌生人的电子邮件,更不要轻信他人说教,特别是即时通讯工具上的传来的消息,很有可能是病毒发出的。
3、安装杀毒软件并及时升级病毒知识库和操作系统(如Windows)补丁。
4、将敏感信息输入隐私保护,打开个人防火墙。
5、 收到不明电子邮件时不要点击其中的任何链接。登录银行网站前,要留意浏览器地址栏,如果发现网页地址不能修改,最小化IE窗口后仍可看到浮在桌面上的网页地址等现象,请立即关闭IE窗口,以免账号密码被盗。
对于企业用户的建议:
1、安装杀毒软件和防火墙。
2、加强电脑安全管理,及时更新杀毒软件,升级操作系统补丁。
3、加强员工安全意识,及时培训网络安全知识。
4、一旦发现有害网络,要及时在防火墙中屏蔽它。
5. 为避免被“网络钓鱼”冒名,最重要的是加大制作网站的难度。具体办法包括:“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。这种防范是必不可少的,因为一旦网站名称被“网络钓鱼”者利用的话,企业也会被卷进去,所以应该在泛滥前做好准备。