caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.Soulwork.d“灵魂杀手”变种d和TrojanDownloader.Agent.apgq“代理木马”变种apgq值得关注。

英文名称：TrojanSpy.Soulwork.d
中文名称：“灵魂杀手”变种d
病毒长度：24576字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Soulwork.d“灵魂杀手”变种d是“灵魂杀手”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“灵魂杀手”变种d是一个专门盗取“魔域Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“灵魂杀手”变种d会通过修改注册表的方式来实现木马开机自启动。

英文名称：TrojanDownloader.Agent.apgq
中文名称：“代理木马”变种apgq
病毒长度：36352字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.apgq“代理木马”变种apgq是“代理木马”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“代理木马”变种apgq运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“vmdetdhc.exe”（文件属性设置为：系统、隐藏、存档）。修改注册表，实现木马开机自动运行。替换被感染计算机系统中的“%SystemRoot%\system32\drivers\Beep.sys”驱动文件，替换后的恶意驱动文件大小为3872字节。利用内核级还原“SSDT HOOK”技术恢复被感染计算机系统中的SSDT表（System Service Descriptor Table，系统服务描述表），致使大部分安全软件和杀毒软件的监控与主动防御功能失效，从而试图结束这些安全软件和杀毒软件的进程，达到自我保护的目的。以挂起的方式在被感染计算机的后台调用系统“svchost.exe”进程，并向其进程内存空间中注入恶意可执行代码，然后调用运行，执行访问网络等恶意操作。利用病毒调用的系统“svchost.exe”进程再次以挂起方式在后台调用系统IE浏览器进程“IEXPLORE.EXE”，并向其进程内存空间中注入恶意可执行代码，然后调用运行。如果被感染计算机上已安装了防火墙并启用，就可以利用用户设置的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。在被感染的计算机上查找指定的窗口名，一旦发现便通过发送“允许”和“关闭”消息来尝试躲避某安全软件的拦截。在后台连接骇客指定站点，在被感染计算机上安装恶意程序、下载安装著名下载软件“迷你**”商业版、在后台定时访问指定的恶意广告站点，提高这些恶意网站的访问量（网络排名），不仅给骇客带来经济利益，而且还会严重影响和干扰用户对计算机的正常操作。另外，“代理木马”变种apgq还会自升级。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    5、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.MultiFirst.b“魔笛手”变种b和TrojanSpy.Delf.cww“TrojanSpy.Delf”变种cww值得关注。

英文名称：TrojanSpy.MultiFirst.b
中文名称：“魔笛手”变种b
病毒长度：3564字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.MultiFirst.b“魔笛手”变种b是“魔笛手”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“魔笛手”变种b隐藏在被感染计算机系统的%SystemRoot%\system32\目录下，文件名为“System.exe”。在后台创建一个名为“HBInjectMutex”的互斥体，防止病毒自身运行多个实例。安装运行恶意驱动程序“HBKernel32.sys”，达到自我保护的目的。“魔笛手”变种b会在被感染计算机系统的后台调用运行其它病毒主程序释放出来的几十种恶意DLL组件，这些恶意DLL组件均为网络游戏盗号木马。这些恶意DLL组件运行后，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取玩家多款网络游戏的账号、密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“魔笛手”变种b会通过修改注册表的方式来实现木马开机自启动。

英文名称：TrojanSpy.Delf.cww
中文名称：“TrojanSpy.Delf”变种cww
病毒长度：18432字节
病毒类型：间谍类木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Delf.cww“TrojanSpy.Delf”变种cww是“TrojanSpy.Delf”木马家族中的最新成员之一，采用“delphi”语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“TrojanSpy.Delf”变种cww是一个专门盗取“腾讯QQ”即时聊天工具用户名和密码的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取QQ的用户名和密码等机密信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点中或邮箱里（地址加密存放），给用户带来一定程度的损失。在后台向其QQ好友列表中所有在线好友发送带毒文件“最新艳照.rar”，达到自我传播的目的。另外，“TrojanSpy.Delf”变种cww会通过修改注册表来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    5、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，以避免病毒利用微软漏洞攻击计算机。
    6、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

想象一下，在一个装满了平整细沙的盒子里，我们可以尽情随意地在上面作画、涂写，无论画的好坏，最后轻轻一抹，沙盒又回到了原来的平整状态。沙盒的魅力就在于他允许你出错，还可以给你改正的机会。如今，这种神奇的“沙盒”被应用到了计算机反病毒领域。10月14日，第29届奥运会网络安全指挥部技术保障单位江民科技宣布，国内首家研发成功“沙盒”杀毒技术，并在正式发布的江民杀毒软件KV2009中得到成功应用。这种技术可以随时将病毒在电脑“沙盒”中抹去，恢复电脑到正常状态。

     由于计算机新病毒呈爆炸式增长趋势，专业杀毒软件厂商开始侧重于研发未知病毒防范技术。目前应用较多的未知病毒防御技术有基于病毒行为的智能主动防御技术，以及虚拟机技术，启发式扫描技术。“沙盒”技术是国际反病毒业界近年来最新提出的反病毒新概念，多数杀毒厂商尚处于实验室研究阶段，江民科技成为国内首家将该项新技术应用到产品中的专业杀毒厂商。

    据江民反病毒专家介绍，虽然同为防范未知病毒的杀毒技术，“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行；“沙盒”技术是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演，但是沙盒会记下他的每一个动作，在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态。

    应用了“沙盒”技术的江民杀毒软件KV2009是江民科技年度重磅产品。除了沙盒技术之外，该款新品亮点迭出，国内首家研发成功启发式扫描、内核级自防御引擎，填补了国产杀毒软件在启发式病毒扫描以及内核级自我保护方面的技术空白。并新增和增强了多行为智能主动防御、网页防木马墙、ARP攻击防护、互联网安检通道、系统安全检测、反病毒Rootkit/HOOK技术、“云安全”防毒系统等三十余项功能和新技术。

    江民科技总裁陶新宇表示，江民反病毒研发中心将投入更多的资源，研发更多更新的技术，全力打造“江民杀毒软件——专业杀毒软件”品质和理念。陶新宇认为，唯有专业、专注才能给用户带来真正的安全。江民科技拥有20年的计算机反病毒经验和积累，在此基础上研发成功的多种反病毒新技术，必将给用户的电脑应用带来全面而独到的安全防范。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQPass.sri“QQ大盗”变种sri和Exploit.MS07004.b“MS07-004漏洞利用者”变种b值得关注。

英文名称：Trojan/PSW.QQPass.sri
中文名称：“QQ大 盗”变种sri
病毒长度：47709字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.sri“QQ大盗”变种sri是一个传播QQ钓鱼网站的木马程序，通过弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗，从而利用让用户交纳手续费的方式来骗取钱财。该病毒图标伪装成一只小企鹅（类似于腾讯QQ软件的图标，只是清晰度很差），采用VB语言编写，并且经过加壳保护处理。“QQ大 盗”变种sri运行后，在当前路径下释放一个功能组件文件“x1.exe”并自动调用运行。在被感染计算机系统中定时弹出伪装的QQ中奖消息窗口来诱惑用户上当受骗。这些广告来源地址为“http://q*x*2.cn/m/test.htm”、“http://*qxm*.cn/m/gx.htm”，骇客可以远程随意更新这些网址上的信息内容。一旦用户点击了这些窗口中的恶意网站链接，该木马程序便会调用IE浏览器打开伪装的腾讯QQ网站，并显示虚假的中奖信息，诱惑用户点击并进入领奖窗口。用户按照中奖消息上提供的验证码“2818”去钓鱼网站“http://*qxm*.cn/ndex.htm”上领取奖品，需要填写个人信息资料等信息。当用户输入的验证码不是“2818”时，钓鱼网站会提示“激活码验证不正确！（无法确认您的幸运身份）请正确输入！”，这样可以降低用户的可疑心理。领奖信息全部填写完毕后，钓鱼网站会提示您给骇客的银行帐户汇钱（如果中的是二等奖，需要打1200元），就算用户把钱汇过去也不会得到任何奖品，因为这些骇客就是为了骗钱才建立的这种钓鱼网站。这种不法行为在给用户财产带来损失的同时，也会给用户的心理上带来一定的伤害，可谓罪孽重重 。另外，“QQ大盗”变种sri无启动项，是借助其它病毒的调用而启动运行的。

英文名称：Exploit.MS07004.b
中文名称：“MS07-004漏洞利用者”变种b
病毒长度：1159字节
病毒类型：脚本病毒
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.MS07004.b“MS07-004漏洞利用者”变种b是“MS07-004漏洞利用者”脚本病毒家族中的最新成员之一，采用JavaScript脚本语言编写，并且经过多层加密保护处理。“MS07-004漏洞利用者”变种b是一个利用微软MS07-004漏洞传播其它病毒的网页脚本病毒。“MS07-004漏洞利用者”变种b一般内嵌在正常网页中，如果用户计算机没有及时升级修补微软MS07-004漏洞相应的补丁，那么当用户使用浏览器访问带有“MS07-004漏洞利用者”变种b的恶意网页时，就会在当前用户计算机的后台连接骇客指定远程服务器站点“http://www.p*ay*ni*.net/”，下载恶意程序“down.exe”并自动调用运行。其中，所下载的恶意程序可能是网游木马、流氓广告、病毒后门等，会给被感染计算机用户带来一定程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    4、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。
    5、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

江民今日提醒您注意：在今天的病毒中Packed.Krap.al“卡拉蜜”变种al和TrojanDownloader.Agent.anhf“代理木马”变种anhf值得关注。

英文名称：Packed.Krap.al
中文名称：“卡拉蜜”变种al
病毒长度：143872字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Krap.al“卡拉蜜”变种al是“卡拉蜜”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“卡拉蜜”变种al运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警报”、“网页”）的窗口，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，达到自我保护的目的。“卡拉蜜”变种al是一个盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。同时，该木马还会窃取用户“雅虎通（Yahoo! Messenger）”和“Yahoo奇魔”的账号信息，并在后台发送到骇客指定的远程服务器上。“卡拉蜜”变种al具有自动更新功能，连接指定站点进行自动升级。另外，“卡拉蜜”变种al会通过修改系统注册表的方式来实现木马开机自启动。

英文名称：TrojanDownloader.Agent.anhf
中文名称：“代理木马”变种anhf
病毒长度：45056字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.anhf“代理木马”变种anhf是“代理木马”木马下载器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。“代理木马”变种anhf运行时，强行篡改注册表，将IE浏览器首页设置为骇客指定站点，致使用户一打开浏览器窗口便连接骇客指定站点，增加某网站的访问量。在被感染计算机的后台秘密窃取用户当前所使用的系统的配置信息，发送到统计站点上。然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。另外，“代理木马”变种anhf会通过修改系统注册表的方式来实现木马下载器开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    6、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

10月20日,公安部公共信息网络安全监察局、国家计算机病毒应急与处理中心召开2008年全国信息网络安全状况暨计算机病毒疫情调查报告发布会，大会还对第29届奥运信息网络安全应急工作优秀单位和个人进行了表彰，江民科技等8家单位获得了优秀单位称号，严绍文等6人获得了先进个人表彰。

    今年5月，公安部公共信息网络安全监察局举办了2008年度全国信息网络安全状况暨计算病毒疫情调查活动。12000余家信息网络使用单位和计算机用户参加了调查活动，调查显示，我国信息网络安全事件发生比例继前3年连续增长后，今年略有下降，信息网络安全事件发生比例为62.7%，说明我国互联网安全状况稍有好转。但多次发生网络安全事件的比例为50%，多次感染病毒的比例为66.8%，说明我国互联网用户的网络安全意识仍比较薄弱。在发生安全事件的类型中，感染计算机病毒、蠕虫和木马程度依然十分突出，占70%，其次是网络攻击和端口扫描（27%）、网页篡改（23%）和垃圾邮件（22%）。攻击或病毒传播源来自内部人员的比例同比增加了21%；涉及外部人员的同比减少了18%，说明联网单位对外部网络攻击防范的意识有所增强，但单位内部的网络安全管理工作还不到位。网络（系统）管理员通过技术监测主动发现网络安全事件的占66.28%，同比增加了13%，说明网络（系统）管理员安全技术水平有所提高；而通过安全产品发现的比例同比减少了8%，原因是目前计算机病毒、木马等绕过安全产品的发现、查杀甚至破坏安全产品的能力增强了。未修补网络安全漏洞仍然是导致安全事件的最主要原因（54.63%）,同比上升了5%。21%的被调查单位建立了安全组织,同比上升了7%,说明各单位对网络安全越来越重视。

   2007年5月至2008年9月奥运结束，全国没有发生大范围计算机病毒疫情。网络用户密码被盗同比增加了4.5%；病毒通过移动存储介质传播的比例下降了14%，说明用户防范移动存储介质传播病毒的意识有所增强；但通过网络浏览下载感染病毒的比例却大幅增加了44%，主要原因因为互联网站被大量“挂马”，这已成为病毒木马传播的主要方式。公安机关提醒网络用户，应加强网络安全防范技术措施，及时打补丁消除安全漏洞，警惕网站“挂马”。

    针对网络“挂马”猖獗、计算机病毒肆虐等情况，为确保奥运期间互联网信息安全，公安机关网监部门奥运期间在全国开展了集中打击利用计算机病毒、木马进行网上盗窃、网上诈骗专项行动，破获了制作、贩卖“大小姐”木马等系列重大案件，有力打击了贩卖计算机病毒木马违法犯罪活动的猖獗势头，实现了奥运期间互联网络平稳运行的目标。

    公安部公共信息网络安全监察局副局长邓宏敏、天津市公安局副局长李玉环、公安部公共信息网络安全监察局副处长任军、国家计算机病毒应急与处理中心王吉树主任等领导参加了发布会并发言。邓宏敏副局长等领导为第29届北京奥运会信息网络安全应急工作优秀单位和个人颁发了奖牌。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/VB.Small.aho“小不点”变种aho和Worm/AutoRun.cnk“U盘寄生虫”变种cnk值得关注。

英文名称：Trojan/VB.Small.aho
中文名称：“小不点”变种aho
病毒长度：35087字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/VB.Small.aho“小不点”变种aho是“小不点”木马家族中的最新成员之一，采用VB语言编写，并且经过加壳保护处理。“小不点”变种aho运行后，在被感染计算机系统的“c:\temp\”目录下释放病毒组件文件“killvv.sys”和“*.exe”（文件名随机生成）。在被感染计算机系统的“%SystemRoot%\”和“%SystemRoot%\system32\”目录下分别释放恶意组件“yuiabct.exe”和“yuiabct.dll”。修改注册表，实现木马开机自动运行。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现某些安全软件进程存在便会尝试结束其进程。利用进程映像劫持功能来阻止某些安全软件的启动，达到自我保护的目的。“小不点”变种aho释放出来的恶意DLL组件“yuiabct.dll”是一个专门盗取网络游戏“奇迹世界Online”和“魔兽世界Online”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来一定程度的损失。

英文名称：Worm/AutoRun.cnk
中文名称：“U盘寄生虫”变种cnk
病毒长度：15872字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.cnk“U盘寄生虫”变种cnk是“U盘寄生虫”蠕虫家族的最新成员之一，采用“Microsoft Visual C++”编写，并且经过加壳保护处理。“U盘寄生虫”变种cnk运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的窗口（如“专杀”、“防火墙”、“杀毒”等），便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。遍历当前系统中的所有进程，一旦发现某些安全软件进程存在，便会尝试结束其进程，达到自我保护的目的。强行删除注册表相关项，达到破坏被感染计算机系统安全模式的目的。“U盘寄生虫”变种cnk会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”和病毒主程序文件“TG.PIF”（“U盘寄生虫”变种cnk），实现双击盘符启动“U盘寄生虫”变种cnk运行，从而利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播，给计算机用户带来潜在的威胁。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://m.*c*5.com/dd/”，下载恶意程序“x.gif”、“1.exe”、“2.exe”、“3.exe”、“4.exe”、“5.exe”、“6.exe”、“7.exe”、“8.exe”、“9.exe”、“10.exe”、“15.exe”并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来不同程度的损失。另外，“U盘寄生虫”变种cnk会通过在被感染计算机系统“启动”文件夹中创建病毒主程序文件的方式来实现蠕虫开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

也许很多人对ROOTKIT不是很熟悉，但是我作为公司的网络管理者，对这种技术是太熟悉了。现在越来越多的病毒利用ROOTKIT技术来隐藏自身，然后利用Hook技术破坏系统文件，防止被安全软件所查杀。
   
   有的人可能不知道什么是ROOTKIT，什么是Hook，其实说白了就是病毒为了逃过杀毒软件的查杀而用的小伎俩，目前虽然很多杀软都在努力的提高技术来查杀，但是效果不是很明显，因为病毒在不断的变种，软件都是后来升级。前些天听说kv2009上市了，听朋友说kv2009应用了反病毒Rootkit、反病毒Hook技术，我一直对这些东西都是很感兴趣的，就买了一套09来试下。

   我发现kv2009的反病毒Rootkit技术能够检测出深藏的病毒文件、进程、注册表键值，并能够阻止病毒利用Hook技术破坏系统文件，接管病毒钩子，这样它就把病毒防御在系统之外，连注册表都进不了，还不错总算没白花钱。江民在国产杀软中是最早开始做杀毒的，但是也是最低调的，它一直在默默的研究着新技术，提高杀毒能力，防御病毒的能力，我觉得这就是一个杀软公司应该有的态度，但是如果有了新技术的研发就不应该再低调，让用户更深的了解软件，才能让你走的更远。

    现在很多使用杀软的人都不是很懂电脑或者安全，因为懂的人一般都不使用杀毒软件，所以使用杀软的都是些对电脑不太懂的。这样，新技术的使用能让我们用户更简单明了的使用杀软，保护电脑的安全。

至纯黑准

乖乖媳妇