北京网络行业协会、江民科技联合发布12月09日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanSpy.Pophot.cho“焦点间谍”变种cho和Trojan/PSW.QQShou.ib“QQ秀”变种ib值得关注。英文名称:TrojanSpy.Pophot.cho
中文名称:“焦点间谍”变种cho
病毒长度:79607字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.cho“焦点间谍”变种cho是“焦点间谍”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“焦点间谍”变种cho运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时,还会在相同目录与“%SystemRoot%\”目录下分别释放多个恶意DLL功能组件和配置文件。创建IE浏览器进程并将病毒文件注入其中加载运行,以实现更好的自我隐藏。修改注册表,实现木马的开机自动运行。在后台遍历当前系统的所有进程,如果发现指定安全软件存在时,便会尝试以多种方式将其结束,从而达到自我保护的目的。同时,该木马所释放的功能组件还可以通过鼠标模拟自动选择一些安全软件所弹出警示窗口的“允许”、“放行”等按钮,防止了病毒的恶意行为被安全软件所阻截。“焦点间谍”变种cho还会在后台连接骇客指定的URL“http://c*.*4s.com/cc.txt”,从中读取配置信息,并按照其中的设置进行网络攻击、木马下载的操作,致使被感染计算机用户受到更多不同程度的威胁,同时也影响了互联网的整体安全环境。另外,在“焦点间谍”变种cho木马及其释放的组件中,大量的数据、配置信息及所需调用的函数名都经过了二次加密处理,这样可以更好的达到逃避杀毒软件特征码检测、提高病毒自身生存几率的目的。
英文名称:Trojan/PSW.QQShou.ib
中文名称:“QQ秀”变种ib
病毒长度:45568字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.ib“QQ秀”变种ib是“QQ秀”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0 MFC”编写,并且经过加壳保护处理。“QQ秀”变种ib是一个木马生成器,用于生成盗取即时聊天工具“腾讯QQ”用户名和密码的木马病毒。其生成的木马可以在被感染计算机的后台秘密监视“腾讯QQ”的登陆窗口,然后利用键盘钩子、内存截取或封包截取等技术盗取QQ的账户信息,并在后台将窃取到的信息发送到骇客的指定邮箱中,给QQ用户造成了不同程度的财产损失,侵害了用户的合法权益。
kv2008网页监控设置
[img]http://forum.jiangmin.com/UploadFile/2007-9/2007929215140976.jpg[/img]我们先打开KV主界面,单击“工具”->“设置”,打开“江民设置程序”,找到“监视”下的“网页监控”,如图所示,我们看到了“网页监控”的选项,这里有必要解释一下网页监控的“监控模式”(确定要保护的对象),主要分“IE模式”和“所有”两种模式,一定有不少用户感到疑惑,竟究该选择哪一种呢?别慌,我在这里先给大家解释一下:
所谓“IE模式”:就是理论上KV的“网页监控”将保护所有采用IE为内核的浏览器(IE是Microsoft的产品,集成在Windows环境中,是系统默认浏览器),但并不是100%,这个选项推荐给普通用户使用。
而“所有”模式:简单的说就是无论你采用什么浏览器以及其它联网程序,只要是基于Http的,KV都将进行监控,以保护您的安全,这个选项推荐给安装了多个浏览器的高级用户使用,当然如果你不知道该如何设置,“所有”模式也是不错的选择。
"网页监控"下的IE模式和所有模式对网址黑名单的影响:
"如果你使用火狐和傲游2等浏览器请使用所有模式 因为有时候IE模式不能你设置黑名单网站时候进行限制如果使用IE6和IE7就可以放心的使用IE模式了"
“网页监控模式”设置完了,“检查方式”(进行网络监控时采取的检查数据的方式),也很重要哦,别着急,这是最后一步啦,“检查方式”主要分为“快速检查”和“流速检查”两种。
KV上已经说得很清楚了:
1.“快速检查”:效果好,安全性检查更严格,彻底剿灭网页病毒,适用于网速快的情况;
2.“流式检查”:适用于网速罗慢的情况,效果不如“快速检查”,但保证用户安全是绝对没问题的,请放心使用。
究竟用户该如何选择才可以不影响网还又能保证安全呢,笔者经过测试,推荐网络下载速度能达到200KB/s(不含200KB/s)以上的用户可以选择快速检查,而在200Kb/s的用户就推荐使用流式检查了,不会测速也不要紧,简单的说就是感觉你的网速够快的话就选择“快速检查”,感觉网速慢的话就选择“流式检查”。
当然开启了“网页监控”安全性增强了,换来的就是0.5秒左右的打开网页的延迟,这个延迟根据用户的网速影响而不同,不过都在用户的接受范围,经过了设置,浏览网页是不是相当流畅啊?这里还强烈推荐您把您使用的浏览器加入到KV的白名单中,这样运行浏览器就会更加稳定~恭喜您从此以后与假死告别,在KV2008金钟罩的保护下您可以安心的上网啦~
为了让KV2008的“网页监控”能在不影响用户使用的情况下更好的保护大家的安全,笔者特地在此下载安装了多个浏览器,分别进行测试,测试标准为分别使用相应的浏览器打开带病毒的网页,查看KV是否能拦截,当然这个测试标准因测试环境不同,可能会有不同的结果,这里仅仅是推荐给大家,笔者不承担任何责任。
北京网络行业协会、江民科技联合发布12月10日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/StartPage.byo“初始页”变种byo和Trojan/PSW.WOW.i“魔兽贼”变种i值得关注。英文名称:Trojan/StartPage.byo
中文名称:“初始页”变种byo
病毒长度:65536字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.byo“初始页”变种byo是“初始页”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写。“初始页”变种byo运行后,会自我复制到被感染计算机系统中所有盘符根目录下并重新命名保存。同时,还会在C盘根目录下释放其它恶意文件。在注册表启动项中添加键值,以达到开机自动运行的目的。隐藏桌面原有的IE图标,并将伪造的IE快捷方式放置于桌面与快速启动栏中。强行篡改IE浏览器首页设置,使得用户在打开IE浏览器时便会自动连接到骇客指定的站点,提高了这些网站的访问量,给骇客带来了非法的经济利益。“初始页”变种byo还会与其释放的病毒文件实现进程守护,从而增加了用户和杀毒软件在查杀时的难度,提高了病毒自身的生存几率。同时,“初始页”变种byo及其释放的病毒文件会定时地弹出恶意广告网页或窗口,不仅给骇客带来了经济利益,还严重地影响了系统的运行速度,干扰了用户对计算机的正常操作,使得用户受到更多不同程度的侵扰。另外,“初始页”变种byo还会自动连接骇客指定的URL“http://if***w.com/a.txt”,并根据其中的地址下载恶意程序至本地并调用运行,致使被感染计算机用户遭受更多的安全威胁。
英文名称:Trojan/PSW.WOW.i
中文名称:“魔兽贼”变种i
病毒长度:44612字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.WOW.i“魔兽贼”变种i是“魔兽贼”木马家族中的最新成员之一,采用Delphi编写,是一个由其它恶意程序释放出来的DLL功能组件。“魔兽贼”变种i是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序,会由其它恶意程序将其插入到“explorer.exe”及其所有用户级权限的进程中加载运行。在被感染系统后台秘密监视所运行的程序,如果发现“魔兽世界”进程的存在,便会利用消息钩子和内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。
北京网络行业协会、江民科技联合发布12月11日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.QQGame.hz“QQ游贼”变种hz和TrojanDropper.Agent.qhx“代理木马”变种qhx值得关注。英文名称:Trojan/PSW.QQGame.hz
中文名称:“QQ游贼”变种hz
病毒长度:16384字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQGame.hz“QQ游贼”变种hz是“QQ游贼”木马家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件。该病毒是一个专门盗取“QQ自由幻想”网络游戏账号信息的木马程序,会被插入到“explorer.exe”及其所有用户级子进程中加载运行,运行后会检查自身所属进程是否为“QQffo.exe”。当发现自身所属进程确为“QQffo.exe”时,则通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级,甚至是密码保护资料等信息,之后会在后台将窃取到的玩家机密信息发送到骇客指定的远程站点上,致使网络游戏玩家的账号信息等丢失,遭受不同程度的财产损失。
英文名称:TrojanDropper.Agent.qhx
中文名称:“代理木马”变种qhx
病毒长度:5632字节
病毒类型:木马释放器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.qhx“代理木马”变种qhx是“代理木马”木马家族中的最新成员之一,采用高级语言编写,经过花指令保护处理。“代理木马”变种qhx运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意驱动程序“antisg.sys”,并且通过创建服务“antisg”来实现木马的加载。该驱动文件的主要目的是为了破坏“地下城与勇士”、“QQ三国”等游戏的保护功能,破坏成功之后,“代理木马”变种qhx便会删除之前所创建的病毒文件和系统服务并退出运行,以销声匿迹。
微软IE7出现高危0day漏洞 可以导致任意代码执行
江民反病毒中心监测到,微软浏览器IE7出现一个高危0day漏洞,表现为IE7浏览器在处理畸形XML时,可以导致任意代码执行。目前网上已经出现专门攻击该漏洞的恶意代码。黑客可能利用该最新漏洞,制作各种恶意网页,疯狂传播木马病毒。江民反病毒专家介绍,从他们目前掌握的恶意攻击代码样本分析来看,受该漏洞影响的操作系统包括Windows XP,Windows 2003的IE7用户。其它IE版本用户不受影响。截止发稿前,微软尚无针对该漏洞的补丁程序或其它临时解决方案发布。特别值得注意的是,目前攻击该漏洞的恶意代码已经在网上公开发布,预计短期内利用该漏洞的恶意网页会大量出现,希望电脑用户能够足够重视该漏洞可能带来的互联网威胁。
江民反病毒专家正在进一步密切监控相关该漏洞的恶意代码,及时升级江民杀毒软件病毒库,请用户开启杀毒软件实时监控和网页防木马墙功能,以避免遭受病毒侵害。此外,在微软没有发布补丁程序之前,江民反病毒专家建议用户换用其它版本的IE浏览器(例如:firefox),可以有效避免受到该漏洞的影响。
北京网络行业协会、江民科技联合发布12月12日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Slefdel.p“斯莱德”变种p和Trojan/PSW.GamePass.ahhb“网游大盗”变种ahhb值得关注。英文名称:Trojan/Slefdel.p
中文名称:“斯莱德”变种p
病毒长度:754688字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.p“斯莱德”变种p是“斯莱德”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种p运行后,会自我复制到被感染计算机系统的“%CommonProgramFiles%\Microsoft Shared\MSInfo”目录下,并重新命名为“R_Server.exe”。同时,在被感染计算机中创建系统服务,以实现木马的开机自启动。“斯莱德”变种p在被感染计算机系统中安装完毕后,会通过启动服务的方式来激活自身副本,并在系统目录下创建批处理文件“Deleteme.bat”,以达到删除自我、消除痕迹的目的。副本被激活后,会首先创建IE浏览器进程并将自身代码注入其中运行,之后会将副本的原始进程结束,从而实现更深层次的隐蔽运行,防止被用户和杀毒软件轻易地发现和查杀。在后台尝试连接骇客指定的远程站点“125.*.*.77:800”,致使被感染计算机成为骇客恣意侵害的肉鸡。骇客利用“斯莱德”变种p可以远程对被感染计算机进行任意操作,其中包括“文件操作”、“注册表操作”、“屏幕监控”、“键盘监听”、“鼠标控制”,甚至是“摄像头抓图”等,对计算机用户的个人隐私和信息安全造成了严重的侵犯,甚至还可能会导致商业机密的泄露,使用户遭受更大的损失。另外,骇客还能向被感染计算机发送大量的恶意软件,使得被感染计算机用户面临更多不同程度的威胁。
英文名称:Trojan/PSW.GamePass.ahhb
中文名称:“网游大盗”变种ahhb
病毒长度:28672字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GamePass.ahhb“网游大盗”变种ahhb是“网游大盗”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放出来的DLL功能组件。“网游大盗”变种ahhb运行后,会解密所需要的重要API函数和链接库名称,并将“%SystemRoot%\system32\WS2_32.dll”复制到被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下,重新命名为“ztfast_32.dll”,以方便自身调用。“网游大盗”变种ahhb是一个专门盗取“天龙八部”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,一旦发现带有“天龙八部”字样的窗口,便会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器中,致使游戏账号等信息丢失,给网游玩家带来不同程度的损失。
IE70DAY漏洞已被黑客大量利用 江民发布补丁程序
江民反病毒中心监测到,利用微软最新IE70DAY漏洞传播病毒的恶意网页在网上大量涌现。距该漏洞被公布仅一天时间,江民反病毒中心已监测到网上已出现利用IE7 0DAY漏洞的网页75个,这些恶意网页分布在全球49个黑客站点上。江民反病毒中心恶意网页监测系统数据显示,在10日监测发现的所有恶意网页中,IE7 0DAY漏洞的利用率约为5%。反病毒专家担心,按照目前这种恶意网页的增长速度,预计未来一段时间,利用该漏洞的恶意网页会更加泛滥。
由于微软至今仍然没有发布相关漏洞补丁,为了减少该漏洞可能带来的计算机病毒的疯狂传播,江民反病毒中心紧急研发推出IE70DAY漏洞补丁程序,免费提供给所有电脑用户下载使用,可有效避免电脑遭受针对该漏洞的病毒侵害。
江民IE70DAY漏洞补丁程序下载地址:
[url]http://filedown.jiangmin.com/KVIEXMLPatch.exe[/url]
北京网络行业协会、江民科技联合发布12月13日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.Element.k“毒素”变种k和Trojan/PSW.QQShou.ic“QQ秀”变种ic值得关注。英文名称:Trojan/PSW.Element.k
中文名称:“毒素”变种k
病毒长度:25088字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Element.k“毒素”变种k是“毒素”木马家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件。“毒素”变种k运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒文件“sh17017.exe”并调用运行。“sh17017.exe”运行后,会释放恶意驱动文件“antisg.sys”至“%SystemRoot%\system32\”目录下,并通过创建系统服务来加载该驱动程序。该驱动的主要目的是破坏“地下城与勇士”等腾讯公司网游的保护功能,破坏成功之后,“sh17017.exe”便会将释放的驱动和创建的系统服务删除并退出运行,以达到销声匿迹的目的。“毒素”变种k本身则是一个专门盗取网游“地下城与勇士”会员账号的木马程序,会在被感染计算机的后台查找是否存在指定的游戏进程。如果发现这些进程的存在,则会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。另外,“毒素”变种k还会强行篡改系统hosts文件,以阻止对一些游戏官方网站的访问。
英文名称:Trojan/PSW.QQShou.ic
中文名称:“QQ秀”变种ic
病毒长度:17576字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.ic“QQ秀”变种ic是“QQ秀”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0 MFC”编写,并且经过加壳保护处理。“QQ秀”变种ic运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时,还会在该目录下释放其它的附属模块。修改注册表启动项,以实现木马开机后的自动运行。在被感染计算机后台遍历当前系统中运行着的进程,如果发现某些指定的安全软件存在时,就会尝试将其结束,以达到自我保护的目的。“QQ秀”变种ic是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序,会在被感染计算机的后台秘密监视QQ的登陆窗口,然后利用键盘钩子、内存截取或封包截取等技术盗取账户信息,并在后台将窃取到的信息发送到骇客指定的邮箱中,致使感染该木马的QQ用户蒙受不同程度的财产损失。
北京网络行业协会、江民科技联合发布12月14日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.SHQZ.b“水浒大盗”变种b和Trojan/StartPage.bym“初始页”变种bym值得关注。英文名称:Trojan/PSW.SHQZ.b
中文名称:“水浒大盗”变种b
病毒长度:28672字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.SHQZ.b“水浒大盗”变种b是“水浒大盗”木马家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件。“水浒大盗”变种b是一个专门盗取“水浒Q传”网络游戏会员账号的木马程序,会被注入到“explorer.exe”及其所有用户级权限的进程中加载运行。运行后在系统后台对指定进程进行监视,如果发现指定程序的运行,便会通过键盘钩子截获网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“[url]http://www.wom[/url]***age.cn/biyi1/mail.asp”上,致使网游玩家游戏账号及其相关信息丢失,从而给游戏玩家造成不同程度的财产损失。另外,“水浒大盗”变种b还会在被感染计算机中自我注册为系统服务,实现木马开机后的自动运行。
英文名称:Trojan/StartPage.bym
中文名称:“初始页”变种bym
病毒长度:9728字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.bym“初始页”变种bym是“初始页”木马家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“初始页”变种bym运行时,会强行篡改系统注册表,将IE浏览器默认首页设置为某搜索引擎。同时,关闭、禁用“Windows安全中心”和“Windows防火墙”,降低了被感染计算机的安全性。在后台连接骇客指定的站点,下载名为“antivirus2009”的木马并强行安装。该木马会将自身伪装成杀毒软件,弹出虚假信息提示用户的计算机被病毒感染,在后台下载大量的恶意程序到被感染的系统中,致使计算机面临着极大的安全威胁和风险。另外,骇客还指定了许多其它的下载地址,不仅起到了更好的传播效果,还给不法分子谋取不正当利益提供了更多途径。
北京网络行业协会、江民科技联合发布12月15日病毒播报
江民今日提醒您注意:在今天的病毒中Packed.Klone.jy“克隆先生”变种jy和Trojan/PSW.Tibia.lu“Tibia游贼”变种lu值得关注。英文名称:Packed.Klone.jy
中文名称:“克隆先生”变种jy
病毒长度:385024字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Packed.Klone.jy“克隆先生”变种jy是“克隆先生”木马家族中的最新成员之一,采用Delphi编写,并且经过加壳保护处理。“克隆先生”变种jy运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”目录下,并重新命名为“saber.exe”。自我注册为系统服务,以此实现木马的开机自启动。“克隆先生”变种jy安装完毕后,会在“%SystemRoot%\system32\”下创建“Deleteme.bat”以将病毒原始程序删除,从而到达消除痕迹、隐藏自我的目的。“克隆先生”变种是一个功能强大的木马服务端。运行后,会创建“Winlogon”进程并自我注入其中隐蔽运行。在后台不断连接骇客指定站点,如果连接成功,就会接收骇客的恶意控制指令,使得被感染计算机成为任人控制的傀儡主机。骇客可通过“克隆先生”变种jy对被感染计算机进行任意操控,其中包括文件操作、进程控制、注册表操作、屏幕监控、键盘监听、摄像头抓图、鼠标控制等,严重的侵犯了用户的信息安全和个人隐私,甚至还可能对商业机密造成无法估量的损失。同时,骇客还可能利用“克隆先生”变种jy向被感染计算机传送大量的病毒、木马等恶意程序,从而使得用户面临更大程度的安全威胁。
英文名称:Trojan/PSW.Tibia.lu
中文名称:“Tibia游贼”变种lu
病毒长度:375838字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Tibia.lu“Tibia游贼”变种lu是“Tibia游贼”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“Tibia游贼”变种lu运行后,会通过调用系统命令的方式自我复制到被感染计算机系统的“%USERPROFILE%\「开始」菜单\程序\启动\”目录下,重新命名为“lsass.exe”,以此实现木马的开机自动运行。“Tibia游贼”变种lu是一个专门盗取风靡欧洲的“Tibia”网络游戏会员账号的木马程序,会在被感染计算机系统的后台秘密监视运行着的所有应用程序的窗口标题,一旦发现“Tibia”的窗口存在,便会利用内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、物品、金钱等丢失,给游戏玩家造成不同程度的损失。
北京网络行业协会、江民科技联合发布12月16日病毒播报
江民今日提醒您注意:在今天的病毒中Worm/Kapucen.r“卡布虫”变种r和Trojan/PSW.Moshou.aur“魔兽”变种aur值得关注。英文名称:Worm/Kapucen.r
中文名称:“卡布虫”变种r
病毒长度:106496字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/Kapucen.r“卡布虫”变种r是“卡布虫”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 7.0”编写。“卡布虫”变种r运行后,会自我复制到被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下,重新命名为“svchost.exe”。通过在注册表启动项中添加键值的方式,实现蠕虫的开机自动运行。遍历被感染计算机的C到G驱动器,搜索有效的网络共享文件夹。如果发现存在“.RAR”和“.ZIP”扩展名的压缩文件,则会将自身任意命名为“Setup.exe”、“Install.exe”或“_Run_Me_First.exe”,写入所发现的压缩文件中,实现网络共享传播。另外,该蠕虫不会进行重复感染,某些情况下会将被感染的压缩文件复制到其它目录中并重命名为“<原压缩文件名> updated-fixed Release <系统月>-<系统年>.rar”。
英文名称:Trojan/PSW.Moshou.aur
中文名称:“魔兽”变种aur
病毒长度:26476字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Moshou.aur“魔兽”变种aur是“魔兽”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“魔兽”变种aur运行后,会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下释放恶意DLL文件“textfont.dat”和“LPK.dll”,并将真正的系统文件“%SystemRoot%\system32\LPK.dll”复制到临时文件夹,并重新命名为“LOOPARK.dat”。“魔兽”变种aur所释放的组件“textfont.dat”是一个专门盗取“传奇2”网络游戏会员账号的木马程序,会被插入到“explorer.exe”及其所有的用户级权限的进程中加载运行。运行后会通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。另外,“魔兽”变种aur运行后还会在后台监视系统中正在运行的所有进程,一旦发现某些杀软的监控存在便直接退出运行,不会进行木马释放等一系列后续操作。
一些清除病毒的系统辅助操作
若病毒位于Temporary Internet Files目录或者Cookies目录中,请清空IE缓存或者清除Cookies。方法如下(适用于所有Windows操作系统):控制面板——Internet选项——(如图)
[img]http://bbs.jiangmin.com/UploadFile/2005-5/200551423856341.gif[/img]
显示隐藏文件,方法如下:
(Win9X/ME系统)我的电脑——查看——文件夹选项——(如图雷同)
(Win2000/XP/2003系统)我的电脑——工具——文件夹选项——(如图)
[img]http://bbs.jiangmin.com/UploadFile/2005-5/200551423922306.gif[/img]
若病毒位于System Volume Information目录或者_Restore目录中,请关闭系统还原,方法如下:
(WinME系统)我的电脑——属性——性能——文件系统——疑难解答——禁用系统还原
(WinXP系统)我的电脑——属性——系统还原——(如图)
[img]http://bbs.jiangmin.com/UploadFile/2005-5/2005514239532.gif[/img]
更改账户密码,方法如下:
图一,适用于(Win2000/XP/2003系统):控制面板——管理工具——计算机管理
图二,适用于(WinXP/2003系统):开始菜单——运行
[img]http://bbs.jiangmin.com/UploadFile/2005-5/200551424016576.gif[/img]
[img]http://bbs.jiangmin.com/UploadFile/2005-5/200551424031465.gif[/img]
[img]http://bbs.jiangmin.com/UploadFile/2005-5/200551424031465.gif[/img]
如何进入“安全模式”方法:
重新启动电脑,然后在系统自检时按F8即可选择进入安全模式。
若不知何时自检,建议重新启动电脑然后不停地按F8,直到进入安全模式的选择菜单出来为止。
图一,适用于Win9X/ME系统
图二,适用于Win2000/XP/2003系统
[img]http://bbs.jiangmin.com/UploadFile/2005-5/200551424057965.gif[/img]
[img]http://bbs.jiangmin.com/UploadFile/2005-5/20055142412374.gif[/img]
如何关闭“信使服务Messenger”的方法(适用于Win2000/XP/2003系统):
控制面板——管理工具——服务——(如图)
[img]http://bbs.jiangmin.com/UploadFile/2005-5/200551424128185.gif[/img]
如何打开“注册表编辑器并查找内容”的方法(适用于所有Windows系统):
开始菜单——运行——输入“regedit”,然后“确定”——(如图)
[img]http://bbs.jiangmin.com/UploadFile/2005-5/200551424151961.gif[/img]
关于kv检测发现sp**.sys的问题
近期有一些论坛的朋友一直在因为使用kv未知病毒检测检测到sp**.sys可疑、可疑为37%、但是状态却是“文件不存在”。通过查看发现问题的用户的sreng的扫描报告,发现没有任何病毒的问题,于是,最初把这认定为这是注册表残留造成加以解决。后来在某用户的一真“施压”下。同研发的未知病毒检测程序的编写工程师进行了询问,工程师分析了源程序后发现是apihook问题,并建议用ssdt检测工具能查到原因,并可以在system32/drivers下面找到那个文件。根据这一提示,用户在ssdt中找到了相关项,但是恢复了ssdt后,虽然未知病毒检测暂时找不到sp**.sys的可疑,但是重启电脑又有了。根据用户提供的分析。亲自下载了一个DT进行测试。
[img]http://bbs.jiangmin.com/UploadFile/2008-3/200831214521181.jpg[/img]
[img]http://bbs.jiangmin.com/UploadFile/2008-3/20083121455157.jpg[/img]
重启后:
[img]http://bbs.jiangmin.com/UploadFile/2008-3/200831214645688.jpg[/img]
删除system32/drivers下的spdt后,再次重启电脑:
[img]http://bbs.jiangmin.com/UploadFile/2008-3/200831214864.jpg[/img]
再次未知病毒检测:
[img]http://bbs.jiangmin.com/UploadFile/2008-3/200831214835953.jpg[/img]
这时候一切正常了,不过,虚拟光驱软件不能用了。
可以知道,这不是病毒的问题,大家安全可以放心。这只是安装了虚拟光驱后,修改了系统接口造成的一个现象而已。
通过对网上的搜索综合论坛中网友提供的信息认为:sptd.sys是提供给虚拟光驱的一个接口驱动,是个系统里本身就有的,安装虚拟光驱后,会使用这个驱动。但是,卸载后这个驱动还会起作用。
北京网络行业协会、江民科技联合发布12月17日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Slefdel.ik“斯莱德”变种ik和Trojan/PSW.Lmir.dgb“传奇窃贼”变种dgb值得关注。英文名称:Trojan/Slefdel.ik
中文名称:“斯莱德”变种ik
病毒长度:136192字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.ik“斯莱德”变种ik是“斯莱德”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种ik运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时,还会在该目录下释放一个恶意DLL功能组件,并修改上述两个文件的创建时间为系统安装日期,迷惑了计算机用户,提高了自我的生存能力。“斯莱德”变种ik所释放的DLL组件会在被感染计算机系统的后台连接骇客指定的远程服务器站点,下载恶意程序并调用运行。其中,所下载的恶意程序可能为网游盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会使用户面临不同程度的威胁。“斯莱德”变种ik在完成以上功能之后,创建一个批处理文件用以将自身删除,从而达到消除痕迹、防止被用户和安全软件轻易查杀的目的。另外,“斯莱德”变种ik会修改注册表,达到开机自动运行的目的。
英文名称:Trojan/PSW.Lmir.dgb
中文名称:“传奇窃贼”变种dgb
病毒长度:34156字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Lmir.dgb“传奇窃贼”变种dgb是“传奇窃贼”木马家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件,一般会被插入到“explorer.exe”及其所有用户级权限的进程中加载运行。“传奇窃贼”变种dgb是一个专门盗取“传奇”网络游戏会员账号的木马程序,通过监视系统进程、安装消息钩子的方式来截获网游玩家信息,盗取游戏玩家的账号、密码、区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的内容发送到骇客指定的远程服务器站点“[url]http://www.sk[/url]***xw.cn/cqcqcq/flash.asp”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的财产损失。
北京网络行业协会、江民科技联合发布12月20日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.QQSG.b“QQ三国贼”变种b和TrojanSpy.Agent.hgv“代理木马”变种hgv值得关注。英文名称:Trojan/PSW.QQSG.b
中文名称:“QQ三国贼”变种b
病毒长度:23552字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQSG.b“QQ三国贼”变种b是“QQ三国贼”木马家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件。“QQ三国贼”变种b运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意程序。在被感染计算机的后台遍历当前所有进程,查找是否存在“QQ三国”网络游戏。当发现“QQ三国”网络游戏正在运行时,会通过内存截取等技术盗取“QQ三国”网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使“QQ三国”网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。“QQ三国贼”变种b还会强行篡改系统hosts文件,以屏蔽用户对大量游戏官方网站的访问,并将其非法地指向了骇客所设立的服务器“212.**.**.59”上。另外,“QQ三国贼”变种b会通过修改注册表启动项的方式实现开机自动运行。
英文名称:TrojanSpy.Agent.hgv
中文名称:“代理木马”变种hgv
病毒长度:129672字节
病毒类型:间谍类木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Agent.hgv“代理木马”变种hgv是“代理木马”间谍类木马家族中的最新成员之一,采用“Microsoft Visual C++ 7.0”编写,并且经过加壳保护处理。“代理木马”变种hgv运行后,会在被感染计算机系统中创建一个隐藏的文件夹,将自我复制到其中,并在该目录下释放一个恶意DLL功能组件。同时,该文件夹还被用来存储“代理木马”变种hgv的配置信息、运行记录以及所搜集到的用户数据等。“代理木马”变种hgv运行时,会监视键盘输入,并通过安装消息钩子等方式截取“MSN”、“ICQ”、“Yahoo Messenger”等即时聊天工具的聊天记录等内容。每间隔5分钟便会进行屏幕截图,并将截图按照一定的规则命名保存。在后台秘密连接骇客指定的远程服务器站点,并将窃取到的用户私密信息发送到其中。“代理木马”变种hgv严重地威胁到了计算机用户的信息安全和个人隐私,同时,还可能对商业机密造成不同程度的侵害。
测试KV2008的反RootKit
反RootKit测试下面就测试下KV2008的"系统诊断"里的反RootKit工具吧,使用特殊的技术隐藏了已经创建好的隐藏文件,在正常模式下无论如何是找不到该文件的,于是利用"系统诊断"工具的"隐藏文件"查找查找了下隐藏文件,被查找了出来,如图:
[img]http://bbs.jiangmin.com/UploadFile/2008-6/2008641431870.jpg[/img]
哈哈,看到江民和冰刃都找出来了隐藏的文件了,冰刃还发现了受隐藏的文件夹,而另外一个位于隐藏文件夹下的江民虽然虽指出了路径,却指的还是文件而不是隐藏目录,不信的话我再住下做个测试,看图:
[img]http://bbs.jiangmin.com/UploadFile/2008-6/2008641433093.jpg[/img]
经特殊处理过后,江民找不到了位于隐藏目录下的文件了
当试图用系统诊断工具的隐藏文件功能去查找被RootKit的目录时却无论如何都找不到,而此目录却是自己亲手创建并加以隐藏的,使用冰刃仍然可以找到此目录并加以删除,希望江民能注重对受驱动保护的目录的操作,在已经中了RootKit病毒的情况下再安装江民,如果是创建了受保护的文件夹,江民岂不是发现不了?希望江民加强此方面的功能.
[img]http://bbs.jiangmin.com/UploadFile/2008-6/20086414429470.jpg[/img]
U盘病毒如何处理
一款U盘病毒修改替换包括dllcache目录下的系统Shell文件(explorer.exe)以及注册表编辑器(regedit.exe),劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。如图所示:
[img]http://tech.ccidnet.com/col/attachment/2008/6/1520743.jpg[/img]
该病毒写入如下启动项:
[img]http://bbs.jiangmin.com/UploadFile/2008-6/200866102419807.jpg[/img]
修改REG文件关联到: %systemroot%\pchealth\Global.exe
利用劫持阻止以下程序运行:
[img]http://tech.ccidnet.com/col/attachment/2008/6/1520747.jpg[/img]
释放主要文件如下:
[img]http://bbs.jiangmin.com/UploadFile/2008-6/200866102554791.jpg[/img]
各个盘符下的autorun.inf以及MS-DOS.com
使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名会有以下结果:
[img]http://tech.ccidnet.com/col/attachment/2008/6/1520749.jpg
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。为防止该病毒修改了注册表编辑器打开“江民设置程序”=》“主动防御”=》“系统监控”中单击高级选项进入高级选项后勾选“严模式”如图所示:
[img]http://bbs.jiangmin.com/UploadFile/2008-6/20086610354226.jpg[/img]
为更好的防御该病毒的入侵最好设置“移动设备存储控制”功能,江民对毒病毒真的很有一套,“移动设备存储控制”功能主要是为对付U盘病毒设计的,当用户插入U盘时会首先进行拦截,只有当用户输入正确的口令才可以继续对U盘进行操作,这样就可以防止病毒侵入了,不仅如此,此功能还可以为你的电脑保密,为什么这么说呢?我们知道电脑上的文件很容易被小小的U盘带走,如果当你不在时,别人可以很轻易将你电脑上的资料(商业机秘,个人隐私)拿走,后果不堪设想,OK,现在有了KV2008,只要开启“移动存储控制功能”,并且设置一个口令,我们就可以为我们的移动存储设备加个锁,这样既可以防病毒又可以保护资料,何乐而不为呢?
[img]http://forum.jiangmin.com/UploadFile/2008-4/200842103141454.png[/img]
如何开启移动存储控制功能?不要着急,慢慢跟我来,我们打开江民杀毒软件主界面,单击“工具”-“设置”,在“江民设置程序”中选择“保护密码”,我们勾选“移动设备存储”选项,并且一定要注意勾选“修改密码/设置密码”选项否则不会生效,然后设置好访问U盘的密码,单击“确定”,重新启动计算机,大功告成~
[img]http://forum.jiangmin.com/UploadFile/2008-4/200842103141807.png[/img]
北京网络行业协会、江民科技联合发布1月5日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Delux.e“隐形贼”变种e和Trojan/CDur.as“扯淡鬼”变种as值得关注。英文名称:Trojan/Delux.e
中文名称:“隐形贼”变种e
病毒长度:51760字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Delux.e“隐形贼”变种e是“隐形贼”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“隐形贼”变种e运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,并重新命名为“myhko.exe”和“win32.hlp”,还会在该目录和“%SystemRoot%\system32\drivers\”下分别释放恶意DLL功能组件和恶意驱动程序,并设置以上文件属性为“系统、隐藏”。在被感染计算机系统中注册系统服务,以此实现木马副本的开机自动运行。木马副本被启动后,会将之前释放的DLL功能组件注入到“lsass.exe”进程中加载运行,隐藏自我,防止被查杀。运行后,在指定的目录下生成配置文件,并调用之前释放的恶意驱动程序来进行病毒文件及其进程、注册表项目的隐藏,防止了被用户和杀毒软件轻易地发现,提高了木马自身的生存几率。在后台监视系统中的移动存储设备,如果发现有新的移动存储设备接入时,便会向其中复制“隐形贼”变种e的副本和自动运行配置文件。同时,还会向除了系统分区之外的所有分区复制这些恶意文件,企图利用系统的自动运行特性来达到病毒传播的目的。另外,“隐形贼”变种e会自我删除,从而达到了消除痕迹的目的。
英文名称:Trojan/CDur.as
中文名称:“扯淡鬼”变种as
病毒长度:172794字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/CDur.as“扯淡鬼”变种as是“扯淡鬼”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“扯淡鬼”变种as运行后,会在被感染计算机系统的“%SystemRoot%\system32\drivers\etc”目录下释放一个文件名随机的DLL功能组件,文件描述伪装成某安全软件的组件信息,并修改文件创建时间为系统安装日期,试图迷惑用户。在“%SystemRoot%\system32\”下生成一个文件名随机的文件,以此防止系统被重复感染。强行篡改注册表,尝试结束某安全软件的进程,从而达到了自我保护的目的。将自身注册为系统服务,以此实现木马开机后的自动运行。“扯淡鬼”变种as所释放的组件是一个多功能的远程控制木马服务端,运行后会尝试与客户端进行连接,致使被感染计算机彻底的沦为受到骇客控制的傀儡主机。骇客通过该木马,可以向被感染计算机发送任意的指令和进行任意的操作,其中包括文件管理、进程控制、注册表操作、命令执行、屏幕监控、键盘监听、鼠标控制、音视频设备控制(例如摄像头)等,给被感染计算机用户的信息安全和个人隐私造成了严重的侵害,甚至还有可能对商业机密造成严重的威胁。另外,骇客还可以通过其向傀儡主机传送大量的恶意软件等,从而给用户造成了更大程度的威胁。同时,“扯淡鬼”变种as在安装完毕后可将自身删除。
北京网络行业协会、江民科技联合发布1月6日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/SmallGame.h“迷你贼”变种h和Trojan/AntiAV.eu“系统杀手”变种eu值得关注。英文名称:Trojan/SmallGame.h
中文名称:“迷你贼”变种h
病毒长度:24576字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/SmallGame.h“迷你贼”变种h是“迷你贼”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“迷你贼”变种h是一个专门盗取“赤壁Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://221.*.*.139/tuleichibi/tulei001/post.asp”上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。同时,“迷你贼”变种h还具有窃取玩家游戏账号密码保护的功能。因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码,否则会连同玩家的密码保护资料一同被骇客盗取,给玩家造成更大程度上的损失。另外,“迷你贼”变种h会通过在系统注册表启动项中添加键值的方式来实现开机后木马的自动运行。
英文名称:Trojan/AntiAV.eu
中文名称:“系统杀手”变种eu
病毒长度:120864字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/AntiAV.eu“系统杀手”变种eu是“系统杀手”木马家族中的最新成员之一,采用高级语言编写,通过篡改系统服务的注册表项来实现开机自启。“系统杀手”变种eu运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL功能组件“bits.dll”(该病毒为后门),并修改文件的创建时间为系统安装日期,蒙蔽用户、隐藏自我,防止被查杀。“系统杀手”变种eu运行后,会判断某安全软件的窗口模块是否存在,并试图躲避该软件的主动防御功能。同时,还会通过恶意结束进程和篡改系统注册表的方式来干扰某些安全软件的正常运行,从而实现了木马的自我保护,提高了自身的生存几率。木马组件“bits.dll”在运行时,会打开并监听本地“8000”端口,并尝试连接骇客指定的IP,通过网络监听来窃取用户的信息,从而给被感染计算机用户的个人隐私信息甚至是企业的商业机密造成了不同程度的损失,严重地威胁到了计算机的信息安全。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。
4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。
5、江民杀毒软件拥有强大的自防御体系,能有效阻止“驱动级病毒”关闭和破坏杀毒软件,确保杀毒软件所有功能的完全发挥,为保障系统和数据安全打下了坚实的基础。
6、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。
7、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:[url]http://online.jiangmin.com/chadu.asp[/url]
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站[url]http://www.jiangmin.com[/url]进行在线查阅。
北京网络行业协会、江民科技联合发布1月7日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.XYQJ.b“西游Q记贼”变种b和Trojan/Pakes.dfs“小偷派克斯”变种dfs值得关注。英文名称:Trojan/PSW.XYQJ.b
中文名称:“西游Q记贼”变种b
病毒长度:11828字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.XYQJ.b“西游Q记贼”变种b是“西游Q记贼”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“西游Q记贼”变种b运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,并替换系统文件“verclsid.exe”。同时,还会在该目录下释放一个文件名随机的恶意DLL功能组件,并将上述文件属性设置为“隐藏”。“西游Q记贼”变种b是一个专门盗取“西游Q记”网络游戏会员账号的木马程序,会将之前释放的DLL功能组件插入到被感染计算机的“explorer.exe”进程之中,并在后台秘密监视用户系统中所运行的进程。如果发现指定网络游戏的进程存在,便会通过安装消息钩子和内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了极大的损失。同时,“西游Q记贼”变种b还会在临时文件夹下创建批处理文件“del*.bat”以将自身删除,从而达到了消除痕迹的目的。另外,“西游Q记贼”变种b通过在系统注册表“ShellExecuteHooks”项目中添加键值的方式来实现木马开机自启动。
英文名称:Trojan/Pakes.dfs
中文名称:“小偷派克斯”变种dfs
病毒长度:33792字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Pakes.dfs“小偷派克斯”变种dfs是“小偷派克斯”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“小偷派克斯”变种dfs运行后,会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下释放一个恶意DLL功能组件,文件名随机生成。一般会被注入到“spoolsv.exe”(Print Spooler服务)中加载运行,隐藏了自我,防止被轻易地发现和查杀。该恶意DLL功能组件运行后,会将自身复制到所有磁盘驱动器下的“resycled”目录中,重新命名为“boot.com”,并在磁盘根目录下创建自动运行配置文件“autorun.inf”,以此实现了通过系统自动播放功能进行自我传播,给被感染计算机用户造成了更多的安全隐患。同时,该组件还会在后台秘密连接骇客指定的站点,下载大量的恶意程序至本地并自动调用运行,使得被感染计算机的用户面临更多不同程度的潜在风险。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。
4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。
5、江民杀毒软件拥有强大的自防御体系,能有效阻止“驱动级病毒”关闭和破坏杀毒软件,确保杀毒软件所有功能的完全发挥,为保障系统和数据安全打下了坚实的基础。
6、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。
7、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
8、禁用系统的自动播放功能,防止病毒通过U盘、移动硬盘、MP3等移动存储设备感染计算机。
9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:[url]http://online.jiangmin.com/chadu.asp[/url]
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站[url]http://www.jiangmin.com[/url]进行在线查阅。