标题: [资讯] 江民科技发布7月29日病毒播报 [打印本页]

---

作者: caobin    时间: 2008-7-28 18:07     标题: 江民科技发布7月29日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Magania.jgx“玛格尼亚”变种jgx和Trojan/Vundo.dlj“雾毒”变种dlj值得关注。

病毒名称：Trojan/PSW.Magania.jgx
中 文 名：“玛格尼亚”变种jgx
病毒长度：124876字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.jgx“玛格尼亚”变种jgx是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种jgx运行后，在被感染计算机系统“%SystemRoot%\help\”目录下释放“F3C74E3FA248.dll”DLL木马组件文件。修改注册表，实现木马开机自动运行。将木马组件插入到所有用户进程中加载运行，隐藏自身，防止被查杀。采用HOOK技术和内存截取技术，在被感染计算机的后台监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏账号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏账号、装备物品、金钱等丢失。另外，“玛格尼亚”变种jgx还会在被感染计算机上下载更多的恶意软件、网游木马等，给网络游戏玩家带来非常大的损失。“玛格尼亚”变种jgx不会感染简体中文版的Windows操作系统。

病毒名称：Trojan/Vundo.dlj
中 文 名：“雾毒”变种dlj
病毒长度：92032字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vundo.dlj“雾毒”变种dlj是“雾毒”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理，是由某个病毒释放出来的DLL木马组件，一般被注册为浏览器辅助插件（BHO），以便实现木马随系统浏览器的启动而加载运行。“雾毒”变种dlj运行于浏览器进程内，这样可以隐藏病毒程序，躲避安全软件的查杀。强行修改hosts文件，屏蔽大量安全站点，导致被感染计算机上某些安全软件无法连接升级服务器进行升级。不定时弹出广告窗口，严重影响用户正常使用计算机。强行篡改注册表，极大地降低了被感染计算机的安全性。连接骇客指定的服务器站点，下载恶意程序，并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

---

作者: 用情    时间: 2008-7-28 21:48

江民对病毒的监控能力其实并不好,以前用过~

---

作者: caobin    时间: 2008-7-29 19:13     标题: 北京网络行业协会、江民科技联合发布7月30日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/Monder.ahk“摩登王”变种ahk和I-Worm/SuperLamer.b“超烂王”变种b值得关注。

病毒名称：Trojan/Monder.ahk
中 文 名：“摩登王”变种ahk
病毒长度：62976字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Monder.ahk“摩登王”变种ahk是“摩登王”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“摩登王”变种ahk运行后，自我复制到被感染计算机系统“%SystemRoot%\system32\”目录下，文件名由5位随机小写字母组成。修改注册表，实现木马开机自启动。将恶意代码注入“winlogon.exe”和“explorer.exe”进程中运行，隐藏自我，防止被查杀。通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等，可能会卸载某些安全软件，极大地降低了被感染计算机系统的安全性。不定时弹出广告窗口，影响用户正常使用计算机。在后台秘密收集被感染计算机的系统信息，发送到骇客指定的服务器站点上。连接骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。另外，“摩登王”变种ahk具有自我删除的功能，以便消除痕迹。

病毒名称：I-Worm/SuperLamer.b
中 文 名：“超烂王”变种b
病毒长度：10240字节
病毒类型：网络蠕虫
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
I-Worm/SuperLamer.b“超烂王”变种b是“超烂王”网络蠕虫家族的最新成员之一，采用VB编写，并经过添加保护壳处理。“超烂王”变种b运行后，将自身添加为启动项，实现蠕虫开机自动运行。修改hosts文件，屏蔽大量安全站点，致使某些安全软件不能够进行在线升级。强行篡改注册表，大大地降低了被感染计算机系统的安全性。收集被感染计算机上用户的信息，发送到骇客指定的服务器站点上。在后台搜索被感染计算机中的*.htm、*.PHP、*.xls、*.asp等文件，查找有效的邮箱地址，利用自带的SMTP引擎群发带毒邮件，从而通过电子邮件实现蠕虫病毒的传播。

---

作者: 军装男    时间: 2008-7-29 22:26

又是江民的病毒报告，天天发这个，就能让大家用江民么。

---

作者: caobin    时间: 2008-7-31 13:32     标题: 北京网络行业协会、江民科技联合发布7月31日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Agent.geh“代理木马”变种geh和Backdoor/Popwin.ao“泡泡”变种ao值得关注。

病毒名称：Trojan/PSW.Agent.geh
中 文 名：“代理木马”变种geh
病毒长度：27104字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.geh“代理木马”变种geh是“代理木马”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“代理木马”变种geh运行后，自我复制到被感染计算机“%SystemRoot%\MayaBaby\”目录下，重命名为“MayaBabyMain.exe”。自我注册为系统服务，实现木马开机自动运行。在“%SystemRoot%\MayaBaby\”目录下释放木马组件“MayaBabyDll.dat”和恶意驱动程序“MayaBabySYS.dat”。将病毒代码注入到系统进程“smss.exe”中运行，隐藏自我，防止被查杀。加载释放出来的恶意驱动程序来恢复系统SSDT，致使部分安全软件的监控失效。查找并强行关闭大量流行的安全软件，致使用户计算机系统毫无安全保障。在被感染计算机的后台连接骇客指定站点，下载大量的恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

病毒名称：Backdoor/Popwin.ao
中 文 名：“泡泡”变种ao
病毒长度：208384字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Backdoor/Popwin.ao“泡泡”变种ao是“泡泡”后门家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理，是由某病毒释放出来的DLL组件，一般被注册为浏览器辅助插件（BHO），随系统浏览器的启动而自动加载运行。“泡泡”变种ao运行于“iexplore.exe”进程内，隐藏自我，防止被查杀。强行篡改IE浏览器默认首页设置，增加某网站的访问量、提升alexa排名。强行篡改注册表相关键值，致使“文件夹选项”中的“显示隐藏文件”功能失效。在后台窃取被感染计算机系统的配置信息（MAC地址、操作系统版本、用户名、PC名等），并将窃取到的信息发送到骇客指定的远程服务器站点上。躲避某些防火墙的监控，查找并强行关闭某些安全软件，大大降低被感染计算机上的安全性。另外，“泡泡”变种ao还可以自升级。

---

作者: caobin    时间: 2008-7-31 13:33     标题: 北京网络行业协会、江民科技联合发布8月1日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/DNSChanger.fuo“DNS变色龙”变种fuo和TrojanDownloader.JS.Agent.im“代理木马”变种im值得关注。

病毒名称：Trojan/DNSChanger.fuo
中 文 名：“DNS变色龙”变种fuo
病毒长度：27136字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/DNSChanger.fuo“DNS变色龙”变种fuo是“DNS变色龙”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“DNS变色龙”变种fuo运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“hgqhp.exe”，并将其添加为启动项，实现木马开机自动运行。启动“explorer.exe”和“iexplore.exe”进程，将恶意代码注入其中运行，隐藏自身，躲避安全软件的查杀。强行篡改DNS设置，降低被感染计算机上的安全设置，可能导致被感染计算机无法正常连接网络等。在被感染计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，“DNS变色龙”变种fuo具有自我删除的功能，以便消除痕迹。

病毒名称：TrojanDownloader.JS.Agent.im
中 文 名：“代理木马”变种im
病毒长度：3181字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.JS.Agent.im“代理木马”变种im是“代理木马”木马下载器家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用“联众世界”中某ActiveX控件栈溢出漏洞以及“Real Player媒体播放器”漏洞传播其它病毒。“代理木马”变种im一般内嵌在正常网页中，如果用户计算机没有及时升级修补“联众世界”以及“Real Player媒体播放器”相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种im的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能为网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

---

作者: caobin    时间: 2008-7-31 13:33     标题: 江民科技回应杀毒软件免费说　没病不能乱吃药

转载自 赛迪网
近日，奇虎360以及瑞星先后开展免费的市场活动，许多媒体朋友关注江民的态度，对此，江民科技作出回应如下：

   无论是奇虎免费还是瑞星开展的短期市场活动，都仅仅是一种普通的市场行为。奇虎免费的本质是学习免费网络游戏模式，免费的只是“基本功能”，仅仅是让你能用，而要得到处理一些疑难病毒的“高级功能”，那就另当别论了。江民科技作为专业的计算机反病毒技术开发商，更多的资源和精力将投入到尖端反病毒技术的研发当中。可以透露的是，江民已经研发成功的多项反病毒新技术将是上述免费软件不具备的，江民科技愿与免费厂商比技术、比处理病毒的能力，而不是一味地纠缠于免费还是收费这种对行业和技术进步并无实际意义的纷争中。

    打个比方，杀毒软件就象治病的药，没病不会有人乱吃药，免费的也不会吃，病人更看重的是药的疗效，只要能治病，病人心甘情愿付费，免费的药吃了反而让人不放心，没病或许还会吃出其它什么病来。

    市场方面，江民科技将继续执行原定的市场策略，江民杀毒软件KV2008下载版免费一个月，在企业级市场、电子商务、OEM方面加大力度，给用户的电脑提供更加实惠的“治病良药”。

---

作者: caobin    时间: 2008-7-31 13:33     标题: “网游窃贼”毁尸灭迹 “隐形杀手”群发带毒邮件

7月28日，据江民反病毒中心监测数据显示，上周该中心共截获新病毒18757种，全国共有335329台计算机感染了病毒，较前一周下降了30.76%。其中网游盗号类病毒上升趋势显著，应引起网游玩家的足够重视。

    在病毒排行榜的前20位中，网游盗号类病毒就占据了14位，而“网游窃贼”变种xz更是较前一周上升了51.42%。值得引起关注的是，上周监测到的“网游窃贼”变种ki病毒，该病毒不仅能够盗取《跑跑卡丁车》、《浩方对战平台》和《风云》等多款主流网络游戏玩家的游戏帐号、密码等私密信息，同时该病毒还能在完成盗号等活动后实现自我删除，消除痕迹，致使用户很难察觉，给用户带来严重的损失。

    另外上周还监测到一个可以利用自带的SMTP引擎群发带毒邮件的“隐形杀手”变种b病毒，该病毒会在被感染计算机系统后台搜索*.htm、*.php、*.xls、*.asp等文件，查找有效的邮箱地址，并向其群发带毒邮件。与此同时，该病毒还会在系统进程中查找数十种安全软件和安全辅助工具，一旦发现便将其强行关闭，屏蔽大量安全站点，致使某些安全软件不能进行在线升级。江民反病毒专家特别指出，江民杀毒软件KV2008拥有强大的自我保护技术，能够利用驱动程序在系统最底层提供强大而全面的保护，该保护措施阻止了目前所有已知的破坏手段，保证了软件的顺利运行。

    江民反病毒专家建议广大用户，一定要选用具备“主动防御”和“自我保护”功能的杀毒软件，上网时要开启江民杀毒软件的实时监控功能，在输入网上银行、网络游戏等帐号密码时，可以使用“江民密保”等专业工具，有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
      
    上周值得关注的典型病毒：“网游窃贼”变种ki和“隐形杀手”变种b

病毒名称：TrojanSpy.OnLineGames.ki
中 文 名：“网游窃贼”变种ki
病毒长度：16385字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
    TrojanSpy.OnLineGames.ki“网游窃贼”变种ki是“网游窃贼”间谍类木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“网游窃贼”变种ki运行后，在被感染计算机系统“%SystemRoot%\system32\”目录下释放木马组件文件“hjukrt.dll”和“dfxh.dll”。将释放出来的木马组件插入到所有进程中运行，隐藏自身，躲避安全软件的查杀。修改注册表，实现木马开机自动运行。强行篡改系统时间，致使某些安全软件失效。采用HOOK技术和内存截取技术，盗取《跑跑卡丁车》、《浩方对战平台》和《风云》等多款网络游戏玩家的游戏帐号、游戏密码、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家信息以表单的方式提交到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失，给用户带来一定程度的损失。查找并强行关闭大量流行的安全软件，极大地降低了被感染计算机系统的安全性。另外，“网游窃贼”变种ki能够自我删除，消除痕迹。

病毒名称：I-Worm/Darker.b
中 文 名：“隐形杀手”变种b
病毒长度：577661字节
病毒类型：网络蠕虫
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
    I-Worm/Darker.b“隐形杀手”变种b是“隐形杀手”网络蠕虫家族的最新成员之一，采用高级语言编写。“隐形杀手”变种b运行后，自我复制到被感染计算机系统“%SystemRoot%\”目录下，重命名为“java.exe”。在“%SystemRoot%\system32\”目录下创建两个病毒副本，分别重命名为“WindowsUpdateServer.exe”和“Winupdate.exe”。修改注册表，实现网络蠕虫开机自动运行。在系统进程中查找数十种安全软件以及安全辅助工具，一旦发现便强行将其关闭，极大地降低了被感染计算机的安全性。在被感染计算机系统后台搜索*.htm、*.php、*.xls、*.asp等文件，查找有效的邮箱地址，利用自带的SMTP引擎群发带毒邮件。另外，“隐形杀手”变种b还会修改hosts文件，屏蔽大量安全站点，致使某些安全软件不能够进行在线升级。

---

作者: caobin    时间: 2008-8-1 13:49     标题: 北京网络行业协会、江民科技联合发布8月2日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.b“斯莱德”变种b和Worm/Viking.bab“威金”变种bab值得关注。

病毒名称：Trojan/Slefdel.b
中 文 名：“斯莱德”变种b
病毒长度：369100字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.b“斯莱德”变种b是“斯莱德”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“斯莱德”变种b运行后，自我复制到被感染计算机系统盘的“program files\common files\microsoft shared\msinfo\”目录下，重命名为“windows.exe”，将其添加为系统服务，实现木马开机自动运行。查找并强行关闭某些安全软件，极大地降低了被感染计算机的安全性。在被感染计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。连接骇客指定的服务器站点，骇客可通过“斯莱德”变种b远程控制被感染的计算机，进行恶意操作：文件操作，进程操作，注册表操作，服务操作，屏幕监控，键盘记录，摄像头抓图，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。另外，“斯莱德”变种b具有自我删除的功能，以便消除痕迹。

病毒名称：Worm/Viking.bab
中 文 名：“威金”变种bab
病毒长度：30549字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Viking.bab“威金”变种bab是“威金”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“威金”变种bab是由“威金”病毒主体释放出来的DLL组件，通过修改注册表实现蠕虫开机自动运行。“威金”变种bab运行后，在临时文件夹下释放一个驱动文件并加载运行。启动“iexplore.exe”进程，将恶意代码注入其中运行，隐藏自身，躲避安全软件的查杀。查找并强行关闭大量安全软件，阻止安全软件的运行，极大地降低了被感染计算机的安全性。采用HOOK技术和内存截取技术，在被感染计算机的后台监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。   
    5、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    6、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页，如检测发现恶意网页，用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-1 13:50     标题: 北京网络行业协会、江民科技联合发布8月3日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/AutoRun.v“U盘寄生虫”变种v和Trojan/BHO.blj“BHO劫持者”变种blj值得关注。

病毒名称：Worm/AutoRun.v
中 文 名：“U盘寄生虫”变种v
病毒长度：153425字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.v“U盘寄生虫”变种v是“U盘寄生虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“U盘寄生虫”变种v运行后，调用“net stop”命令关闭大量安全软件的服务，查找并强行关闭数十种流行的安全软件，通过映像劫持技术禁止大量安全软件以及安全辅助工具的运行，极大地降低被感染计算机系统的安全性。强行篡改注册表，致使用户无法查看隐藏文件、无法进入“安全模式”。在后台秘密查找用户打开的窗口标题，一旦发现QQ聊天窗口则将自身发送给用户的好友。在所有盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件（文件属性为“系统、隐藏”），达到双击盘符启动“U盘寄生虫”变种v运行的目的，从而利用U盘、移动硬盘等移动设备进行传播。

病毒名称：Trojan/BHO.blj
中 文 名：“BHO劫持者”变种blj
病毒长度：69744字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/BHO.blj“BHO劫持者”变种blj是“BHO劫持者”木马家族的最新成员之一，采用VC++编写。“BHO劫持者”变种blj运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“usmsvc.exe”，并将其添加为启动项，实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放DLL木马组件“usmsho.dll”，注册为浏览器辅助插件（BHO），实现木马随系统浏览器的启动而加载运行。监视用户的操作，当用户使用IE浏览器时可能会自动弹出网页窗口，影响用户的正常使用。自我伪装成某安全软件的更新程序，显示“升级程序正在下载文件”的窗口，一旦用户点击运行便连接到骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。另外，“BHO劫持者”变种blj还能够自升级。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、在使用移动介质（如：U盘、移动硬盘等）之前，建议先进行病毒查杀。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-1 13:50     标题: 北京网络行业协会、江民科技联合发布8月4日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanDropper.Delf.bpg“TrojanDropper.Delf”变种bpg和Adware/Downloader.QQHelper.daj“QQ蜜”变种daj值得关注。

病毒名称：TrojanDropper.Delf.bpg
中 文 名：“TrojanDropper.Delf”变种bpg
病毒长度：497616字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Delf.bpg“TrojanDropper.Delf”变种bpg是“TrojanDropper.Delf”木马释放器家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“TrojanDropper.Delf”变种bpg运行后，在被感染计算机的指定目录下释放病毒文件。该病毒文件运行后，可在被感染计算机系统指定目录下释放恶意驱动程序并加载运行。还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避安全软件监控的目的。利用Rootkit技术隐藏病毒文件、病毒进程等，防止被查杀。查找并强行关闭某些安全软件，极大地降低了被感染计算机系统的安全性。启动“iexplore.exe”进程并将病毒代码注入其中运行，隐藏自身，躲避查杀。用直接操作“还原精灵”驱动的方式穿透“还原精灵”。连接骇客指定的服务器站点，获取病毒列表，然后下载列表中所有恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。

病毒名称：Adware/Downloader.QQHelper.daj
中 文 名：“QQ蜜”变种daj
病毒长度：24576字节
病毒类型：广告程序
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Adware/Downloader.QQHelper.daj“QQ蜜”变种daj是“QQ蜜”广告程序家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“QQ蜜”变种daj运行后，自我复制到被感染计算机系统的指定目录下。修改注册表，实现广告程序开机自动运行。强行篡改注册表，降低被感染计算机系统的安全设置。在后台秘密窃取被感染计算机系统的配置信息（MAC地址、操作系统版本、用户名、PC名等），并将窃取到的信息发送到骇客指定的远程服务器站点上。另外，“QQ蜜”变种daj还会在被感染计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。   
    5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-4 22:12     标题: 北京网络行业协会、江民科技联合发布8月5日病毒播报

江民今日提醒您注意：在今天的病毒中Win32/Angryel.b“安格瑞”变种b和Trojan/Buzus.h“霸族”变种h值得关注。

病毒名称：Win32/Angryel.b
中 文 名：“安格瑞”变种b
病毒长度：234270字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Win32/Angryel.b“安格瑞”变种b是“安格瑞”蠕虫家族的最新成员之一，采用VB编写，并经过添加保护壳处理。“安格瑞”变种b运行后，自我复制到被感染计算机系统的“%SystemRoot%\system”目录下，重命名为“keyboard.exe”（文件属性为“系统、隐藏”）；自我复制到“%SystemRoot%\fonts\”目录下，重命名为“fonts.exe”（文件属性为“系统、隐藏”）。修改注册表，实现蠕虫开机自动运行。将自身图标伪装成文件夹的图标，诱骗用户点击。强行篡改注册表内容进行映像劫持，致使用户在运行某些系统程序时实际上运行的是蠕虫病毒。禁止某些安全辅助工具的运行，大大地降低了被感染计算机上的安全性。强行篡改注册表，致使用户无法查看隐藏文件。另外，“安格瑞”变种b还会在各个盘符根目录下创建“autorun.inf”文件和木马程序文件，达到双击盘符启动“安格瑞”变种b运行的目的，从而利用U盘等移动存储设备进行传播。

病毒名称：Trojan/Buzus.h
中 文 名：“霸族”变种h
病毒长度：622592字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Buzus.h“霸族”变种h是“霸族”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“霸族”变种h运行后，在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“sysdt.sys”并加载运行。还原系统SSDT，致使某些安全软件的监控功能失效。在被感染计算机系统的“%SystemRoot%\system32\”目录下释放DLL木马组件文件，文件名由13位随机小写字母组成。将木马组件注册为BHO（浏览器辅助对象），实现木马开机自动运行。与骇客指定的服务器建立网络连接，骇客可通过“霸族”变种h远程操作用户的计算机，进行恶意操作，可执行的操作包括：文件操作，进程操作，注册表操作，服务操作，屏幕监控，键盘记录，摄像头抓图，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。  
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-6 19:35     标题: 北京网络行业协会、江民科技联合发布8月7日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQShou.ys“QQ秀”变种ys和Rootkit.Agent.fx“代理”变种fx值得关注。

病毒名称：Trojan/PSW.QQShou.ys
中 文 名：“QQ秀”变种ys
病毒长度：159041字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.ys“QQ秀”变种ys是“QQ秀”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“QQ秀”变种ys运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“ravseteji.exe”，并将其添加为启动项，实现木马开机自动运行。在被感染计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。查找并强行关闭大量流行的安全软件，极大地降低了被感染计算机系统的安全性。在后台秘密监视用户打开的窗口标题，一旦发现用户打开QQ登陆窗口便记录键击，窃取用户的QQ用户名和密码，并发送到骇客指定的远程服务器上，给用户带来不同程度的损失。

病毒名称：Rootkit.Agent.fx
中 文 名：“代理”变种fx
病毒长度：124540字节
病毒类型：恶意驱动程序
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Agent.fx“代理”变种fx是“代理”恶意驱动程序家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“代理”变种fx运行后，能够查找并强行关闭某些自我保护能力不强的安全软件，极大地降低用户计算机系统的安全性。恢复系统SSDT，致使某些安全软件的主动防御功能失效。利用内核级的钩子隐藏病毒进程、病毒文件和病毒在注册表中的启动项，防止被安全软件所查杀。其中，一些关键性的数据信息在木马驱动程序文件体内是加密存放的，一旦用户计算机系统感染该病毒，则很难清除干净。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: lay311    时间: 2008-8-7 09:11

天天发这个，就能让大家用江民么

---

作者: caobin    时间: 2008-8-7 20:45     标题: 北京网络行业协会、江民科技联合发布8月8日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanDownloader.Losabel.ay“露萨”变种ay和Trojan/Monder.ams“摩登王”变种ams值得关注。

病毒名称：TrojanDownloader.Losabel.ay
中 文 名：“露萨”变种ay
病毒长度：50688字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Losabel.ay“露萨”变种ay是“露萨”木马家族的最新成员之一，采用Delphi编写，并经过加壳处理。“露萨”变种ay运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“lsasss.exe”。自我复制到系统启动菜单中，重命名为“winpapt.exe”。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台连接骇客指定站点，获取恶意程序的下载地址列表，并下载所有的恶意程序。其中，所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等，给被感染计算机用户带来不同程度的损失。强行篡改注册表，实现进程映像劫持，导致用户运行某些安全程序时实际上运行的是“露萨”变种ay，甚至系统自带的任务管理器也无法正常运行。在被感染计算机系统的后台秘密监视正在运行的进程名和已打开的窗口标题，一旦发现某些安全软件程序正在运行，马上将其强行关闭。破坏注册表项，致使无法显示隐藏文件。遍历用户计算机的C到Z驱动器，创建“autorun.inf”文件以及病毒副本，利用U盘、移动硬盘等移动设备进行传播。“露萨”变种ay执行安装程序完毕后会自我删除。另外，“露萨”变种ay还可以自升级。

病毒名称：Trojan/Monder.ams
中 文 名：“摩登王”变种ams
病毒长度：101440字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Monder.ams“摩登王”变种ams是“摩登王”木马家族的最新成员之一，采用高级语言编写，由某个木马程序释放出来的DLL木马组件，一般通过修改注册表实现木马开机自动运行。“摩登王”变种ams通常运行于“iexplore.exe”进程内，以此隐藏自我，躲避安全软件的查杀。“摩登王”变种ams加载运行后，会不定时弹出广告窗口，严重影响用户的正常操作。通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等，并且可能会卸载某些安全软件，极大地降低了被感染计算机系统的安全性。在后台秘密收集被感染计算机的系统信息并发送给骇客。在后台连接骇客指定的服务器，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: 萧萧凯风    时间: 2008-8-7 22:30

vb都没通过
国内只有瑞星通过了

---

作者: caobin    时间: 2008-8-8 12:35     标题: 北京网络行业协会、江民科技联合发布8月9日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Almat.eys“阿麦特”变种eys和Trojan/Vundo.dlk“雾毒”变种dlk值得关注。

病毒名称：Trojan/PSW.Almat.eys
中 文 名：“阿麦特”变种eys
病毒长度：150016字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Almat.eys“阿麦特”变种eys是“阿麦特”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“阿麦特”变种eys运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒文件“kavo.exe”，并将其添加为启动项，实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放DLL木马组件文件“kavo0.dll”，并将其插入到所有用户级进程中加载运行，隐藏自我，防止被查杀。破坏注册表，导致被感染计算机系统无法显示隐藏文件。在被感染计算机后台利用HOOK技术与内存截取技术，秘密窃取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“阿麦特”变种eys还具有躲避某些防火墙监控的功能，大大地降低了被感染计算机上的安全性。

病毒名称：Trojan/Vundo.dlk
中 文 名：“雾毒”变种dlk
病毒长度：281600字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vundo.dlk“雾毒”变种dlk是“雾毒”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“雾毒”变种dlk是由某病毒释放出来的DLL木马组件，一般被注册为浏览器辅助插件（BHO），随系统浏览器的启动而自动加载运行。“雾毒”变种dlk运行于浏览器进程内，这样可以隐藏病毒程序，躲避安全软件的查杀。“雾毒”变种dlk运行后，修改hosts文件，屏蔽大量安全站点，导致被感染计算机上某些安全软件无法连接升级服务器进行在线升级。强行篡改注册表，降低被感染计算机的安全设置。不定时弹出广告窗口，严重影响用户正常使用计算机。另外，“雾毒”变种dlk还会连接骇客指定的服务器站点，下载恶意程序，并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-8 12:35     标题: 北京网络行业协会、江民科技联合发布8月10日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/AutoIt.d“多面杀手”变种d和TrojanSpy.Pophot.ais“焦点间谍”变种ais值得关注。

病毒名称：Worm/AutoIt.d
中 文 名：“多面杀手”变种d
病毒长度：807388字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoIt.d“多面杀手”变种d是“多面杀手”蠕虫家族的最新成员之一，采用VC++编写，并经过加壳处理。“多面杀手”变种d运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下创建两个病毒副本，分别重命名为“regsvr.exe”和“winhelp.exe”，文件属性都设置为“系统、隐藏”。修改注册表，实现蠕虫开机自动运行。强行篡改注册表，禁止用户运行任务管理器、注册表编辑器等，禁止用户查看隐藏文件。查找并强行关闭某些安全软件弹出的警告窗口，极大地降低了被感染计算机上的安全性。利用网络共享，实现局域网内的传播。占用大量系统资源，致使被感染计算机运行缓慢，影响用户的正常使用。在被感染计算机系统后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。另外，“多面杀手”变种d还能与骇客指定的服务器建立网络连接，侦听骇客的指令，骇客可通过“多面杀手”变种d远程控制被感染计算机系统，严重威胁用户的计算机信息安全。

病毒名称：TrojanSpy.Pophot.ais
中 文 名：“焦点间谍”变种ais
病毒长度：206336字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.ais“焦点间谍”变种ais是“焦点间谍”木马家族的最新成员之一，采用Delphi编写。“焦点间谍”变种ais是由某木马程序释放出来的DLL木马组件，一般被注入到“EXPLORER.EXE”进程中加载运行，以此隐藏病毒程序，躲避安全软件的查杀。“焦点间谍”变种ais运行后，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。在被感染计算机后台秘密监视用户打开的窗口标题，一旦发现某些安全软件弹出的对话框，强行将其关闭。在被感染计算机上搜索与安全相关的软件，一旦发现便强行将其关闭，大大降低了被感染计算机上的安全性。在后台连接骇客指定的服务器站点，下载恶意程序并自动调用运行，给用户带来一定程度的危害。另外，“焦点间谍”变种ais还会在各个盘符根目录下创建“autorun.inf”文件以及木马程序文件“auto.exe”，实现双击盘符启动病毒运行的目的。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、在打开通过局域网共享及共享软件下载的文件或软件程序之前，建议先进行病毒查杀，以免导致中毒。
    8、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-8 12:36     标题: 北京网络行业协会、江民科技联合发布8月11日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanSpy.Agent.fxc“代理木马”变种fxc和Rootkit.Podnuha.aa“怒花”变种aa值得关注。

病毒名称：TrojanSpy.Agent.fxc
中 文 名：“代理木马”变种fxc
病毒长度：114688字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Agent.fxc“代理木马”变种fxc是“代理木马”木马家族的最新成员之一，采用VC++编写。“代理木马”变种fxc运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放木马程序“KartSvr.exe”和木马组件文件“karnel32.dll”。修改注册表，实现木马开机自动运行。将恶意代码注入到“explorer.exe”进程中加载运行，隐藏自我，躲避安全软件的查杀。在被感染计算机系统后台秘密监视用户的键盘操作，窃取用户输入的账号及密码等机密信息，并将机密信息发送到骇客指定的服务器站点上，给用户带来不同程度的损失。另外，“代理木马”变种fxc还能与骇客指定的服务器建立网络连接，侦听骇客的指令，骇客可通过“代理木马”变种fxc远程控制被感染计算机，从而严重威胁用户的计算机信息安全。

病毒名称：Rootkit.Podnuha.aa
中 文 名：“怒花”变种aa
病毒长度：2978字节
病毒类型：恶意驱动程序
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Podnuha.aa“怒花”变种aa是“怒花”恶意驱动程序家族的最新成员之一，采用C语言编写。“怒花”变种aa一般被注册为设备驱动，实现恶意驱动程序开机自动运行。“怒花”变种aa在用户计算机中安装运行后，恢复系统SSDT，致使某些安全软件的主动防御功能失效。利用内核级的钩子隐藏病毒进程、病毒文件和病毒在注册表中的启动项，防止木马主程序被安全软件所查杀。其中，一些关键性的数据信息在木马驱动程序文件体内是加密存放的，一旦用户计算机系统感染该病毒，则很难清除干净。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    6、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-11 21:24     标题: 北京网络行业协会、江民科技联合发布8月12日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Magania.jkg“玛格尼亚”变种jkg和TrojanDownloader.Small.aaop“小不点”变种aaop值得关注。

病毒名称：Trojan/PSW.Magania.jkg
中 文 名：“玛格尼亚”变种jkg
病毒长度：117459字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.jkg“玛格尼亚”变种jkg是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种jkg运行后，在被感染计算机系统“%SystemRoot%\help\”目录下释放木马组件文件“F3C74E3FA248.dll”。修改注册表，实现木马开机自动运行。将木马组件插入到所有用户进程中加载运行，隐藏自身，防止被查杀。采用HOOK技术和内存截取技术，在被感染计算机的后台秘密监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失。另外，“玛格尼亚”变种jkg还会在被感染计算机上下载更多的恶意软件、网游木马等，给网络游戏玩家带来非常大的损失。但是，“玛格尼亚”变种jkg不会感染简体中文版的Windows操作系统。

病毒名称：TrojanDownloader.Small.aaop
中 文 名：“小不点”变种aaop
病毒长度：9728字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Small.aaop“小不点”变种aaop是“小不点”木马下载器家族的最新成员之一，采用高级语言编写，由某木马释放出来的，一般被注册为浏览器辅助插件（BHO），随系统浏览器的启动而自动加载运行。“小不点”变种aaop运行于浏览器进程内，这样可以隐藏病毒程序，躲避安全软件的查杀。“小不点”变种aaop运行后，强行篡改注册表信息，降低被感染计算机系统的安全设置。提升自身权限，查找并强行关闭某些安全软件，极大地降低了被感染计算机的安全性。连接骇客指定的服务器站点，下载恶意程序，并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。
    8、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-11 21:24     标题: “多面杀手”局域网传播 黑客可远程控制中毒电脑

江民反病毒中心最新截获了一个可以利用网络共享在局域网内的传播的“多面杀手”变种d病毒，该病毒运行后会占用大量系统资源，致使被感染计算机运行缓慢，严重影响用户的正常使用。同时病毒会查找并强行关闭某些安全软件弹出的警告窗口（无法关闭江民杀毒软件KV2008），极大地降低了被感染计算机上的安全性。

   据江民反病毒专家介绍，“多面杀手”变种d病毒会强行篡改注册表，禁止用户运行任务管理器、注册表编辑器等，禁止用户查看隐藏文件。值得关注的是，该病毒还会在被感染计算机系统后台连接骇客指定站点，下载网游木马、广告程序（流氓软件）、后门等恶意程序并在被感染计算机上自动调用运行。与此同时，骇客可通过“多面杀手”变种d远程控制被感染计算机系统，严重威胁用户的计算机信息安全。

   江民反病毒专家提醒广大用户，一定要选用具备“智能主动防御”和“自我保护”功能的杀毒软件，上网时务必开启江民杀毒软件的实时监控功能，谨防病毒趁机入侵。针对该病毒，江民杀毒软件已经紧急升级了病毒库，用户只需将江民杀毒软件KV2008病毒库升级到最新版本，即可有效防范该病毒的入侵。江民杀毒软件KV2008具有超强内核级自我保护技术、反病毒Rootkit/Hook技术、智能主动防御等众多领先的计算机反病毒技术，可有效防御病毒于系统之外。怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。奥运召开在即，江民反病毒专家再次提醒电脑用户，除了做好日常病毒防范措施外，还应当注意从正规渠道获取奥运相关信息，不点击各种论坛或贴吧上的不明链接，不随意接收和运行从MSN、QQ等即时通讯软件上发来的不明文件，避免病毒通过发布虚拟奥运信息诱使用户点击中毒。

---

作者: caobin    时间: 2008-8-12 20:44     标题: 北京网络行业协会、江民科技联合发布8月13日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/Vaklik.acj“伪颗粒”变种acj和Trojan/DNSChanger.fuq“DNS变色龙”变种fuq值得关注。

病毒名称：Trojan/Vaklik.acj
中 文 名：“伪颗粒”变种acj
病毒长度：133690字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vaklik.acj“伪颗粒”变种acj是“伪颗粒”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“伪颗粒”变种acj运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意程序“jvvo.exe”。自我添加为启动项，实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放DLL木马组件文件“jvvo0.dll”，并将其插入到所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。在后台秘密监视被感染计算机上的窗口标题，一旦发现与安全相关的窗口便强行将其关闭。在进程列表中查找数十种安全软件以及安全辅助工具，一旦发现便强行将其关闭，极大地降低了被感染计算机上的安全性。窃取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

病毒名称：Trojan/DNSChanger.fuq
中 文 名：“DNS变色龙”变种fuq
病毒长度：75834字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/DNSChanger.fuq“DNS变色龙”变种fuq是“DNS变色龙”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“DNS变色龙”变种fuq运行后，自我复制到被感染计算机“%SystemRoot%\system32”目录下并重命名为“*.exe”，“*”为5位随机字母组成。将其添加为启动项，实现木马开机自动运行。将恶意代码注入“explorer.exe”进程中运行，隐藏自身，躲避安全软件的查杀。强行篡改DNS设置，降低被感染计算机上的安全设置，可能导致被感染计算机无法正常连接网络等。在被感染计算机的后台连接骇客指定站点，下载大量的恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，“DNS变色龙”变种fuq具有自我删除的功能，以便消除痕迹。

---

作者: caobin    时间: 2008-8-15 12:48     标题: 北京网络行业协会、江民科技联合发布8月16日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.c“斯莱德”变种c和TrojanDownloader.JS.Agent.in“代理木马”变种in值得关注。

病毒名称：Trojan/Slefdel.c
中 文 名：“斯莱德”变种c
病毒长度：164411字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.c“斯莱德”变种c是“斯莱德”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“斯莱德”变种c运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“rascetrs.exe”，并添加为系统服务来实现木马开机自动运行。在“%SystemRoot%\system32”目录下释放DLL组件文件“ncpxa.DLL”，并将其插入到“iexplore.exe”进程中加载运行，以此隐藏自身，躲避安全软件的查杀。查找并强行关闭某些安全软件，极大地降低了被感染计算机的安全性。在被感染计算机的后台连接骇客指定站点，下载大量的恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。连接骇客指定的服务器站点，骇客可通过“斯莱德”变种c远程控制被感染的计算机，骇客可执行的恶意操作包括：文件操作，进程操作，注册表操作，服务操作，屏幕监控，键盘记录，摄像头抓图，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。另外，“斯莱德”变种c还具有自我删除的功能，以便消除痕迹。

病毒名称：TrojanDownloader.JS.Agent.in
中 文 名：“代理木马”变种in
病毒长度：4609字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.JS.Agent.in“代理木马”变种in是“代理木马”木马下载器家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用“联众世界”中某ActiveX控件栈溢出漏洞传播其它病毒。“代理木马”变种in一般内嵌在正常网页中，如果用户计算机没有及时升级修补“联众世界”相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种in的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户防问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    4、选择具备“网页防马墙”功能的杀毒软件（如KV2008），每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。
    5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    8、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页，如检测发现恶意网页，用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-15 12:49     标题: 北京网络行业协会、江民科技联合发布8月17日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/Downloader.oe“桌面幽灵”变种oe和Trojan/Sadenav.c“萨德纳”变种c值得关注。

病毒名称：Worm/Downloader.oe
中 文 名：“桌面幽灵”变种oe
病毒长度：57308字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Downloader.oe“桌面幽灵”变种oe是“桌面幽灵”蠕虫家族的最新成员之一，采用VC++编写，并经过加壳处理。“桌面幽灵”变种oe运行后，自动检测自身进程是否被其它调试软件所调试分析，一旦发现便自动关闭退出。可能会将系统时间设置为2001年，导致某些安全软件杀毒和保护功能失效。在被感染计算机的后台调用系统“svchost.exe”进程，并将恶意代码注入到其中运行，隐藏自身，躲避安全软件的查杀。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放3个带有“wxp2ins”字样的恶意驱动文件，文件名随机生成，并将文件属性设置为“隐藏”。这些驱动文件可还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的。驱动文件还可能会覆盖破坏系统程序“explorer.exe”，把恶意可执行代码写入到系统程序中，具有绕过“还原保护系统”，覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程便强行将其关闭。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行，利用该批处理程序去关闭“系统防火墙”。修改注册表，利用进程映像劫持功能禁止指定的安全软件运行。在被感染计算机系统的后台连接骇客指定站点，下载大量木马病毒到用户计算机中安装运行，给用户带来极大的损失。另外，“桌面幽灵”变种oe还具有自我删除的功能，以便消除痕迹。

病毒名称：Trojan/Sadenav.c
中 文 名：“萨德纳”变种c
病毒长度：47616字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Sadenav.c“萨德纳”变种c是“萨德纳”木马家族的最新成员之一，采用Delphi编写，是由某木马程序释放出来的DLL木马组件，一般被注册为浏览器辅助插件（BHO）来实现木马随系统浏览器的启动而加载运行。“萨德纳”变种c运行后，将自身添加到被感染计算机上某些防火墙程序的白名单中，以躲避防火墙程序的拦截。在被感染计算机系统后台秘密监视用户的操作，记录用户运行的程序名、键盘输入等内容，并将这些内容保存到指定的文件中，定期发送到骇客指定的服务器上，可能造成用户机密信息的泄露，给用户带来一定程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页，如检测发现恶意网页，用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
    6、江民杀毒软件可以在系统崩溃无法进入的情况下，一键恢复系统，无论是恶性病毒破坏或电脑用户误删除系统文件，都可轻松还原系统到无毒状态或正常状态。
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-15 12:49     标题: 北京网络行业协会、江民科技联合发布8月18日病毒播报

江民今日提醒您注意：在今天的病毒中Win32/InfectExplorer.d“Explorer侵蚀者”变种d和TrojanSpy.VB.bd“视频宝宝”变种bd值得关注。

病毒名称：Win32/InfectExplorer.d
中 文 名：“Explorer侵蚀者”变种d
病毒长度：976896字节
病毒类型：感染型病毒
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Win32/InfectExplorer.d“Explorer侵蚀者”变种d是被某些病毒所感染的“explorer.exe”系统文件，其中病毒代码部分采用高级语言编写，并经过加密处理。“Explorer侵蚀者”变种d运行后，每隔一段时间就会在被感染计算机后台检查是否存在移动存储设备，一旦发现便感染其中某些指定的*.exe文件，从而实现病毒利用U盘、移动硬盘等移动存储设备进行传播。“Explorer侵蚀者”变种d与骇客指定的服务器站点建立网络连接，骇客能够通过“Explorer侵蚀者”变种d远程完全控制被感染的计算机，进行任意文件上传、下载以及命令等恶意操作，给用户计算机安全和个人隐私，甚至商业机密造成严重威胁。由于病毒代码存在于“explorer.exe”系统文件中，因此用户难以发觉病毒的存在，难以清除干净。

病毒名称：TrojanSpy.VB.bd
中 文 名：“视频宝宝”变种bd
病毒长度：45056字节
病毒类型：间谍类木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.VB.bd“视频宝宝”变种bd是“视频宝宝”间谍类木马家族的最新成员之一，采用VB编写，并经过添加保护壳处理。“视频宝宝”变种bd运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“isass.exe”，并将其添加为启动项，实现木马开机自动运行。将自身添加到被感染计算机上已安装的某些防火墙程序的白名单中，来躲避防火墙的拦截。强行篡改注册表，大大的降低了被感染计算机的安全设置。在被感染计算机后台秘密监视用户的当前操作，记录用户运行的程序名、键盘输入等信息，将这些信息保存到系统盘指定的文件中，定期发送到骇客指定的服务器上，可能造成用户机密信息的泄露，给用户带来一定的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    5、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    6、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: a11111a    时间: 2008-8-15 15:29

江民好ma??

---

作者: caobin    时间: 2008-8-18 12:29     标题: 北京网络行业协会、江民科技联合发布8月19日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Magania.ta“玛格尼亚”变种ta和Worm/Kolabc.bb“克莱客”变种bb值得关注。

病毒名称：TrojanSpy.Magania.ta
中 文 名：“玛格尼亚”变种ta
病毒长度：130164字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.ta“玛格尼亚”变种ta是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种ta运行后，在被感染计算机系统“%SystemRoot%\help\”目录下释放木马组件文件“B41346EFA848.dll”。修改注册表，实现木马开机自动运行。将木马组件插入到所有用户进程中加载运行，隐藏自身，防止被查杀。采用HOOK技术和内存截取技术，在被感染计算机的后台秘密监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失。另外，“玛格尼亚”变种ta还会在被感染计算机上下载更多的恶意软件、网游木马等，给网络游戏玩家带来非常大的损失。但是，“玛格尼亚”变种ta不会感染简体中文版的Windows操作系统。

病毒名称：Worm/Kolabc.bb
中 文 名：“克莱客”变种bb
病毒长度：358400字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Kolabc.bb“克莱客”变种bb是“克莱客”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“克莱客”变种bb运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\dllcache\”目录下，重命名为“mravsc32.exe”。自我添加为系统服务，实现蠕虫开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。在被感染计算机系统的后台查找数十种安全软件以及安全辅助工具，一旦发现便强行将其关闭，极大地降低了被感染计算机上的安全性。与骇客指定的服务器站点建立网络连接，骇客可通过“克莱客”变种bb远程控制被感染的计算机，可执行的恶意操作包括：文件操作，进程操作，注册表操作，服务操作，屏幕监控，键盘记录，摄像头抓图，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。另外，“克莱客”变种bb还具有自我删除的功能，以便消除痕迹。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-19 11:18     标题: 北京网络行业协会、江民科技联合发布8月20日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/Sramota.bqr“魔塔”变种bqr和TrojanSpy.Zbot.bwn“砸波”变种bwn值得关注。

病毒名称：Worm/Sramota.bqr
中 文 名：“魔塔”变种bqr
病毒长度：58079字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Sramota.bqr“魔塔”变种bqr是“魔塔”蠕虫家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“魔塔”变种bqr运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“mmdmm.exe”，并添加为启动项，实现蠕虫开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。在被感染计算机的后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。与骇客指定的服务器站点建立网络连接，骇客可通过“魔塔”变种bqr远程控制被感染的计算机，可执行的恶意操作包括：文件操作，进程操作，注册表操作，服务操作，键盘记录，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。“魔塔”变种bqr会试图利用共享文件夹进行局域网内的传播。另外，“魔塔”变种bqr还具有自我删除的功能，以便消除痕迹。

病毒名称：TrojanSpy.Zbot.bwn
中 文 名：“砸波”变种bwn
病毒长度：56832字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Zbot.bwn“砸波”变种bwn是“砸波”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“砸波”变种bwn运行后，在“%SystemRoot%\system32\”目录下创建木马文件“ntos.exe”，在“%SystemRoot%\system32\wsnpoem\”目录下释放病毒文件“audio.dll”。修改注册表，实现木马开机自动运行。将病毒代码注入到除“CSRSS.EXE”以外的所有进程中调用运行，隐藏自身，躲避安全软件的查杀。采用Rootkit技术挂钩系统函数，隐藏病毒文件，保护病毒文件不被复制、删除。破坏数款防火墙程序，极大地降低了被感染计算机上的安全性。在后台秘密监视被感染计算机系统的网络通信内容，窃取其中的私密信息并发送给骇客，给用户的计算机安全和个人隐私造成威胁。另外，“砸波”变种bwn还能从骇客指定的服务器地址下载邮件地址列表，利用自带的SMTP引擎群发垃圾邮件。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    6、在打开通过局域网共享及共享软件下载的文件或软件程序之前，建议先进行病毒查杀，以免导致中毒。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、江民杀毒软件“垃圾邮件识别”功能可以智能过滤病毒垃圾邮件、广告垃圾邮件，使用户远离垃圾邮件的烦恼。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-20 14:12     标题: 江民科技发布8月21日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/Randex.g“乱敌虫”变种g和TrojanDownloader.JS.Cutqq.e“卡其虫”变种e值得关注。

病毒名称：Worm/Randex.g
中 文 名：“乱敌虫”变种g
病毒长度：35840字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Randex.g“乱敌虫”变种g是“乱敌虫”蠕虫家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“乱敌虫”变种g运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“spoler.exe”，并添加为启动项，实现蠕虫开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。在被感染计算机的后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。与骇客指定的服务器站点建立网络连接，骇客可通过“乱敌虫”变种g远程控制被感染的计算机，可执行的恶意操作包括：文件操作，进程操作，注册表操作，服务操作，键盘记录，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。“乱敌虫”变种g会试图利用共享文件夹进行局域网内的传播。另外，“乱敌虫”变种g还具有自我删除的功能，以便消除痕迹。

病毒名称：TrojanDownloader.JS.Cutqq.e
中 文 名：“卡其虫”变种e
病毒长度：2695字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.JS.Cutqq.e“卡其虫”变种e是“卡其虫”木马家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用微软MS06-014漏洞传播其它病毒。“卡其虫”变种e一般内嵌在正常网页中，如果用户计算机没有及时升级修补相应程序模块的漏洞补丁，那么当用户使用浏览器访问带有“卡其虫”变种e的恶意网页时，就会在当前用户计算机的后台连接骇客指定的远程服务器站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、有害程序、后门等，给用户带来不同程度的损失。

---

作者: caobin    时间: 2008-8-21 11:16     标题: 北京网络行业协会、江民科技联合发布8月22日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanDownloader.Small.aepc“小不点”变种aepc和TrojanSpy.Banker.iby“网银窃贼”变种iby值得关注。

病毒名称：TrojanDownloader.Small.aepc
中 文 名：“小不点”变种aepc
病毒长度：9728字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Small.aepc“小不点”变种aepc是“小不点”木马下载器家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“小不点”变种aepc是由某个木马释放出来的DLL组件，一般被注册为系统服务，实现木马开机自动运行。“小不点”变种aepc运行后，在被感染计算机系统指定目录下释放恶意驱动程序并加载运行，恶意驱动程序可以还原系统SSDT，致使某些安全软件的监控功能失效。启动“iexplore.exe”进程，并将恶意代码注入其中运行，这样可以隐藏病毒程序，躲避安全软件的查杀。查找并强行关闭某些安全软件，通过映像劫持禁止大量安全软件的运行，极大地降低了被感染计算机系统的安全性。搜索被感染计算机上*.htm、*.asp、*.php、*.aspx的文件，利用这些文件进行网页挂马。连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

病毒名称：TrojanSpy.Banker.iby
中 文 名：“网银窃贼”变种iby
病毒长度：2007552字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Banker.iby“网银窃贼”变种iby是“网银窃贼”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“网银窃贼”变种iby运行后，将自身的文件属性设置为“系统、隐藏”。将自身添加为启动项，实现木马开机自动运行。在被感染计算机系统后台秘密监视用户打开的窗口标题，监视用户的键盘和鼠标操作，一旦发现用户打开指定的网络银行页面时，很可能会显示虚假网络银行登陆界面，诱导用户输入自己的账号和密码，窃取用户输入的账号、密码、网站地址等信息，并将窃取到的机密信息记录为文本文件，以邮件的形式发送给骇客，从而达到盗取用户网络银行账号及密码的目的。另外，“网银窃贼”变种iby将自身的图标伪装成网页文件的图标，诱骗用户点击运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。  
    5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-21 11:16     标题: “金盾”病毒深藏系统盗网银密码 安全软件无用

近日，江民反病毒中心截获“金盾”（TrojanSpy.Goldun.mw）病毒最新变种。该病毒能够盗取多家网上银行交易密码，并且能够将自身深入隐藏于系统进程内部，躲避安全软件的查杀，并且可以穿透某些防火墙程序，给广大网上银行用户带来巨大的安全威胁。

      江民反病毒专家介绍，受到网上银行可能带来的实实在在的现金诱惑，针对网上银行的病毒近年来呈倍增趋势。与往常的网银病毒不同之处在于，目前此类病毒采用了多种先进的隐藏技术，将自身通过Rootkit以及插入进程、注入线程等技术，深藏于系统的正常进程中。病毒将自身注册为浏览器辅助对象，与系统浏览器同时启动或关闭，普通用户或一般的安全软件根本无法觉察病毒的存在。
  
     “金盾”病毒变种运行后，检测自身是否处于“iexplore.exe”进程内部，如果是则进行恶意操作。在被感染计算机后台秘密监视系统的IE浏览器窗口，通过记录键击、自动读取分析网页代码提交表单的方式来盗取某些网络银行、在线交易网站的账户信息资料（用户名称、用户密码等），并将窃取到的用户机密信息发送到骇客指定的远程服务器站点上，可能会给用户带来极大的损失。
      
      江民反病毒专家提醒广大网上银行用户，务必安装一款专业杀毒软件，确保自身电脑和网上银行密码安全，防杀病毒于系统之外。由于病毒采用了较为先进的隐藏技术，普通安全工具软件根本无法查出该病毒，千万不能因为已经安装了网上免费的安全工具软件而掉以轻心，给自己网上银行资金带来巨大损失。

---

作者: caobin    时间: 2008-8-22 12:09     标题: 北京网络行业协会、江民科技联合发布8月23日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Delf.cto“Trojan/PSW.Delf”变种cto和TrojanDownloader.Exchanger.bt“移情机”变种bt值得关注。

病毒名称：Trojan/PSW.Delf.cto
中 文 名：“Trojan/PSW.Delf”变种cto
病毒长度：157395字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Delf.cto“Trojan/PSW.Delf”变种cto是“Trojan/PSW.Delf”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。“Trojan/PSW.Delf”变种cto运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“erere.exe”，并添加为系统服务，实现木马开机自动运行。启动“iexplore.exe”进程，将恶意代码注入其中调用运行，隐藏自身，躲避安全软件的查杀。查找并强行关闭某些安全软件，极大地降低了被感染计算机系统的安全性。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《征途》玩家的登陆账号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在被感染计算机后台将窃取到的玩家信息发送到骇客指定的远程服务器站点上，致使《征途》游戏玩家的游戏账号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“Trojan/PSW.Delf”变种cto还会在被感染计算机上下载更多的恶意程序、网游木马等，给网络游戏玩家带来非常大的损失。

病毒名称：TrojanDownloader.Exchanger.bt
中 文 名：“移情机”变种bt
病毒长度：63488字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Exchanger.bt“移情机”变种bt是“移情机”木马下载器家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“移情机”变种bt运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“CbEvtSvc.exe”，并添加为系统服务，实现木马开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。在被感染计算机的后台连接骇客指定站点，下载大量的恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，“移情机”变种bt还具有自我删除的功能，以便消除痕迹。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御的层层截杀，更好地保护用户上网安全。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-26 14:49     标题: 北京网络行业协会、江民科技联合发布8月26日病毒播报

江民今日提醒您注意：在今天的病毒中I-Worm/Zhelatin.boo“哲拉蒂”变种boo和Trojan/Sysloader.hm“系统加载者”变种hm值得关注。

病毒名称：I-Worm/Zhelatin.boo
中 文 名：“哲拉蒂”变种boo
病毒长度：90624字节
病毒类型：网络蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
I-Worm/Zhelatin.boo“哲拉蒂”变种boo是“哲拉蒂”网络蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“哲拉蒂”变种boo运行后，在被感染计算机系统的“%SystemRoot%\”目录下释放恶意驱动程序“glok+*-*.sys”（其中“*”为随机4位字符），并在同一目录下创建病毒的配置信息文件。自我注册为设备驱动，实现网络蠕虫开机自动运行。采用高级Rootkit技术，通过HOOK SSDT以及HOOK IRP来隐藏病毒进程、病毒文件和病毒在注册表中的启动项，防止自身以及木马主程序被安全软件所查杀。在后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。另外，“哲拉蒂”变种boo还能开启被感染计算机上的后门，侦听骇客指令，骇客可通过“哲拉蒂”变种boo远程完全控制被感染的计算机系统。

病毒名称：Trojan/Sysloader.hm
中 文 名：“系统加载者”变种hm
病毒长度：188928字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Sysloader.hm“系统加载者”变种hm是“系统加载者”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“系统加载者”变种hm是由某个木马程序释放出来的组件，一般被注册为系统服务，实现木马开机自动运行。“系统加载者”变种hm运行于“svchost.exe”进程内部，以此隐藏病毒程序，躲避安全软件的查杀。“系统加载者”变种hm运行后，强行篡改注册表信息，降低被感染计算机系统的安全设置。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器站点上，给用户带来一定程度的损失。连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    6、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页，如检测发现恶意网页，用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-8-26 14:49     标题: 北京网络行业协会、江民科技联合发布8月27日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/AutoRun.bjo“U盘寄生虫”变种bjo和Trojan/Crypt.wn“地穴”变种wn值得关注。

病毒名称：Worm/AutoRun.bjo
中 文 名：“U盘寄生虫”变种bjo
病毒长度：88255字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.bjo“U盘寄生虫”变种bjo是“U盘寄生虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“U盘寄生虫”变种bjo运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒文件“amvo.exe”，并将其添加为启动项，实现蠕虫开机自动运行。在“%SystemRoot%\system32\”目录下释放DLL木马组件文件“amvo0.dll”，并将其插入到所有用户级进程中加载运行，隐藏自我，防止被查杀。破坏注册表，导致被感染计算机系统无法显示隐藏文件。在被感染计算机硬盘的各个盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和蠕虫主程序文件（文件属性为“系统、隐藏”），实现双击盘符启动“U盘寄生虫”变种bjo运行的目的，从而利用U盘、移动硬盘等进行自我传播。在被感染计算机后台利用HOOK技术与内存截取技术，秘密窃取网络游戏玩家的游戏账号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏账号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“U盘寄生虫”变种bjo还具有躲避某些防火墙监控的功能，极大地降低了被感染计算机上的安全性。

病毒名称：Trojan/Crypt.wn
中 文 名：“地穴”变种wn
病毒长度：180224字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Crypt.wn“地穴”变种wn是“地穴”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“地穴”变种wn运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下。修改注册表，实现木马开机自动运行。在“Program Files\altcmd\”目录下释放DLL木马组件“altcmd32.dll”，注册为浏览器辅助插件（BHO），实现DLL木马组件随系统浏览器的启动而自动加载运行。将恶意代码注入到系统进程中调用运行，隐藏自身，躲避安全软件的查杀。连接骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。另外，“地穴”变种wn还可能在被感染计算机后台搜索用户的私密信息并发送给骇客，严重威胁用户的信息安全。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    5、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    6、利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-10 12:52     标题: 北京网络行业协会、江民科技联合发布9月11日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.eg“斯莱德”变种eg和Trojan/Puper.aao“小狗”变种aao值得关注。

病毒名称：Trojan/Slefdel.eg
中 文 名：“斯莱德”变种eg
病毒长度：27648字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.eg“斯莱德”变种eg是“斯莱德”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“斯莱德”变种eg运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“servet.exe”。自我注册为系统服务，实现木马开机自动运行。可能会启动“IEXPLORE.EXE”进程并将病毒代码注入其中调用运行，隐藏自我，躲避安全软件的查杀。修改注册表，降低被感染计算机的安全设置。强行篡改被感染计算机上的系统时间，致使某些安全软件失效。查找并强行关闭大量安全软件以及安全辅助工具，极大地降低了被感染计算机上的安全性。在被感染计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。在被感染计算机的移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件（文件属性设置为“系统、隐藏”），达到双击盘符启动“斯莱德”变种eg运行的目的，从而利用U盘、移动硬盘等进行自我传播。另外，“斯莱德”变种eg还具有自我删除的功能，以便消除痕迹。

病毒名称：Trojan/Puper.aao
中 文 名：“小狗”变种aao
病毒长度：25088字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Puper.aao“小狗”变种aao是“小狗”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“小狗”变种aao运行后，在被感染计算机系统盘的“\Program Files\Web Technologies\”目录下释放病毒文件“wcs.exe”、“wcm.exe”、“wcu.exe”，均进行过加壳处理。修改注册表，实现木马开机自动运行。“小狗”变种aao在被感染计算机上安装成功后会自动删除。数个病毒程序同时运行，相互保护，导致用户无法关闭病毒程序。强行篡改注册表，降低被感染计算机的安全设置。弹出虚假下载安全软件的对话框，无论用户点击“是”或者“否”都会连接骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。另外，“小狗”变种aao还能自升级。



针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。   
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-11 12:15     标题: 北京网络行业协会、江民科技联合发布9月12日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/AntiAV.as“系统杀手”变种as和Worm/Kolabc.fa“克莱客”变种fa值得关注。

病毒名称：Trojan/AntiAV.as
中 文 名：“系统杀手”变种as
病毒长度：61440字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/AntiAV.as“系统杀手”变种as是“系统杀手”木马家族的最新成员之一，采用VC++编写。“系统杀手”变种as运行后，在被感染计算机系统的“%SystemRoot%\”目录下和“%SystemRoot%\system32\”目录下创建数个病毒副本，文件名随机生成。通过修改注册表和注册为系统服务两种方式实现木马开机自动运行。提升自身权限，强行关闭某些安全软件，大大地降低了被感染计算机的安全性。强行篡改注册表内容，禁止用户运行安全模式。循环监测窗口标题，一旦发现用户打开任务管理器便将其关闭。在后台连接骇客指定的服务器站点，下载恶意程序并自动调用运行，给用户带来一定程度的危害。与骇客指定的服务器建立网络连接，骇客可通过“系统杀手”变种as远程控制被感染的计算机，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。查找并感染大量.exe文件，导致.exe文件无法正常运行，可能会给用户带来极大的损失。另外，“系统杀手”变种as还会将自身的图标伪装成网页图标，并且修改自身描述为“在线修复Anti Virus”，诱骗用户点击运行，请广大用户注意识别。

病毒名称：Worm/Kolabc.fa
中 文 名：“克莱客”变种fa
病毒长度：136192字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Kolabc.fa“克莱客”变种fa是“克莱客”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“克莱客”变种fa运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，文件名由随机八位小写字母组成。自我添加为系统服务，实现蠕虫开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。“克莱客”变种fa自带一个弱口令扫描词典，对局域网内安全意识较差的用户计算机进行弱口令猜测，成功连接后自我复制过去并自动执行，实现蠕虫在局域网内的传播，并且很可能会造成网络阻塞。“克莱客”变种fa会与骇客指定的服务器站点建立网络连接，骇客可通过“克莱客”变种fa远程控制被感染的计算机，可执行的恶意操作包括：文件操作，进程操作，注册表操作，服务操作，屏幕监控，键盘记录，摄像头抓图，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。另外，“克莱客”变种fa还具有自我删除的功能，以便消除痕迹。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。   
    4、江民杀毒软件可以在系统崩溃无法进入的情况下，一键恢复系统，无论是恶性病毒破坏或电脑用户误删除系统文件，都可轻松还原系统到无毒状态或正常状态。
    5、设置网络共享帐号及密码时，尽量不要使用空密码和常见字符串，如guest、user、administrator等。密码最好超过八位，尽量复杂化。
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-11 12:15     标题: kv密码保护功能

江民保护密码是KV2008为用户提供的一个保护电脑内数据和保护自身设置不被修改的一个小插件，虽说它小但是功能俱全，有了它你的KV更安全，有了它你再也不用怕U盘病毒了

先大概的说一下KV2008的“保护密码”里边的七大保护
1.卸载江民杀毒软件
2.设置选项
3.退出监控程序
4.关闭监控状态
5.重装机备份
6.控制访问网站
7.移动设备存储

下面就这七大功能逐一进行介绍
    1. 首先启动江民设置程序选择保护密码就会出现（图1）界面


2．先设置好密码
勾选 修改密码/设置新密码选项
出现输入密码选项,输入密码后单击确定
会提示密码修改成功,这是说明你输入的密码已经成功了
下面我们就可以选择要输入密码的操作了
KV2008提供七项需要提供密码才能修改的选项：
现在详细说说每项功能的定义和使用效果
（1）卸载江民杀毒软件：本选项可以防止KV2008被卸载，当你要卸载KV2008是就需要输入验证密码密码正确后才能卸载和修复KV2008.
（2）设置选项：本选项开启后可以防止KV2008的设置程序被修改，当你要修改设置KV2008是就需要输入验证密码（图5）。密码正确后才能修改KV2008的设置选项。
（3）退出监控程序：本选项是在用户要退出KV2008的监控时候进行密码确认操作，当要退出江民监控的时候就会让用户输入验证密码。密码正确后才能修改KV2008的退出监控程序选项。
（4）关闭监控状态：本选项是在用户要关闭KV2008的所有监视时候进行密码确认操作，当要关闭江民监控的时候就会让用户输入验证密码。密码正确后才能修改KV2008的关闭监控状态选项。
（5）重装机备份：本选项是在用户要重装机备份KV2008时候进行密码确认操作，当要重装机备份监控的时候就会让用户输入验证密码。密码正确才能重装机备份操作。防止他人恶意备份你的KV2008 造成你的通行证信息泄漏.
（6）控制访问网站：当用户要访问网页黑名单里面的网站的时候江民就会提醒你图6，我如果还要访问的话就必须输入密码了（本功能必须开启KV2008的网页黑名单过滤功能和网页监视功能方能生效）本功能可以防止你的孩子浏览不健康的网站.（本功能需要从启您的电脑后方可生效）
（7）移动设备存储：本功能可保护你的计算机免受U盘类病毒威胁和保护你电脑内重要资料被到的危险，当开启本功能后，当你插入U盘、mp3或移动硬盘等存储设备时，在进行读取或写入操作的时候功能功能会提示你输入密码还可以设置有效的时间。强烈建议您打开本功能。（本功能需要从启您的电脑后方可生效）
本功能的开启还可以管理查看日志功能：江民杀毒软件“查看”-〉“历史记录”下的“移动设备存储控制”。 当然查看记录文件也需要密码。
建议大家不要在开启本功能后在U盘上进行文档编辑工作，因为如果设置里有效时间到期后可能发生无法保存文档的情况。对您的工作造成不必要的麻烦。

---

作者: caobin    时间: 2008-9-12 16:40     标题: 北京网络行业协会、江民科技联合发布9月13日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanDropper.Small.chj“小不点”变种chj和Trojan/PSW.Magania.kgz“玛格尼亚”变种kgz值得关注。

病毒名称：TrojanDropper.Small.chj
中 文 名：“小不点”变种chj
病毒长度：38400字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Small.chj“小不点”变种chj是“小不点”木马释放器家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“小不点”变种chj运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“sichost.exe”，在同一目录下释放病毒文件“sovlost.exe”。修改注册表，实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放恶意驱动程序“Nessery.sys”、“ssdtti.sys”，并自动加载运行，恶意驱动程序可以还原系统SSDT，致使某些安全软件的监控功能失效。启动“iexplore.exe”进程，并将恶意代码注入其中运行，这样可以隐藏病毒程序，躲避安全软件的查杀。查找并强行关闭某些安全软件，极大地降低了被感染计算机系统的安全性。访问骇客指定的网站，增加某些网站的访问量，为骇客带来经济利益。监视被感染计算机中的QQ聊天窗口，利用QQ发送恶意信息或带毒链接。一旦用户的好友点击该带毒链接，用户好友的计算机便会感染该木马。另外，“小不点”变种chj还能连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

病毒名称：Trojan/PSW.Magania.kgz
中 文 名：“玛格尼亚”变种kgz
病毒长度：132360字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.kgz“玛格尼亚”变种kgz是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种kgz运行后，在被感染计算机系统“%SystemRoot%\help\”目录下释放木马组件文件“EB6C4499B05F.dll”。修改注册表，实现木马开机自动运行。将木马组件插入到所有用户进程中加载运行，隐藏自身，防止被查杀。采用HOOK技术和内存截取技术，在被感染计算机的后台秘密监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏账号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏账号、装备物品、金钱等丢失。另外，“玛格尼亚”变种kgz还会在被感染计算机上下载更多的恶意软件、网游木马等，给网络游戏玩家带来非常大的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。   
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    6、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-12 16:40     标题: 北京网络行业协会、江民科技联合发布9月14日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/AutoRun.qe“U盘寄生虫”变种qe和Trojan/Crypt.iz“地穴”变种iz值得关注。

病毒名称：Worm/AutoRun.qe
中 文 名：“U盘寄生虫”变种qe
病毒长度：14345字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.qe“U盘寄生虫”变种qe是“U盘寄生虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“U盘寄生虫”变种qe运行后，自我复制到被感染计算机系统的“%SystemRoot%\system\”目录下，重命名为“wuauclt.exe”。在“%SystemRoot%\system32\drivers”目录下释放恶意驱动文件，覆盖系统文件“beep.sys”并加载运行。驱动文件可还原系统“SSDT”，致使某些安全软件的防御功能、监控功能失效，从而达到躲避监控的目的。自我添加为启动项，实现蠕虫开机自动运行。强行篡改注册表，禁止用户进入安全模式。通过映像劫持功能禁止大量安全软件的运行，极大地降低了被感染计算机系统的安全性。在后台连接骇客指定的服务器站点，下载大量恶意程序并自动调用运行，给用户带来一定程度的危害。在被感染计算机硬盘的各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和蠕虫主程序文件“SVS.PIF”（文件属性为“系统、隐藏”），实现双击盘符启动“U盘寄生虫”变种qe的目的，从而利用U盘、移动硬盘等进行自我传播。另外，“U盘寄生虫”变种qe还具有自我删除的功能，以便消除痕迹。

病毒名称：Trojan/Crypt.iz
中 文 名：“地穴”变种iz
病毒长度：106496字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Crypt.iz“地穴”变种iz是“地穴”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“地穴”变种iz运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意程序“tavo.exe”。通过添加启动项，实现木马开机自启动。在“%SystemRoot%\system32\”目录下释放木马组件“tavo0.dll”，并将其插入到所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。循环检测窗口标题，一旦发现与安全相关的字符串便强行将相应窗口关闭。在进程列表中查找数十种安全软件以及安全辅助工具，一旦发现便强行将其关闭，极大地降低了被感染计算机上的安全性。在后台秘密窃取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    5、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    6、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-12 16:41     标题: 北京网络行业协会、江民科技联合发布9月15日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/Monder.bcg“摩登王”变种bcg和Trojan/BHO.cic“BHO劫持者”变种cic值得关注。

病毒名称：Trojan/Monder.bcg
中 文 名：“摩登王”变种bcg
病毒长度：96320字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Monder.bcg“摩登王”变种bcg是“摩登王”木马家族的最新成员之一，采用高级语言编写，未经过添加保护壳处理。“摩登王”变种bcg是由某个木马程序释放出来的DLL木马组件，文件名由8位随机字母组成，一般被注册为浏览器辅助插件（BHO），实现木马开机自动运行。“摩登王”变种bcg运行于“explorer.exe”进程以及“iexplore.exe”进程内部，以此隐藏自身，躲避查杀。通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等，并且可能会卸载某些安全软件，极大的降低了被感染计算机系统的安全性。不定时弹出广告窗口，影响用户正常使用计算机。在后台秘密收集被感染计算机的系统信息并发送到骇客指定的服务器上。连接骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。另外，“摩登王”变种bcg最后会自我删除，消除痕迹。

病毒名称：Trojan/BHO.cic
中 文 名：“BHO劫持者”变种cic
病毒长度：29184字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/BHO.cic“BHO劫持者”变种cic是“BHO劫持者”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“BHO劫持者”变种cic是由某个木马程序释放出来的组件，一般被注册为浏览器辅助插件（BHO），实现木马随系统浏览器的启动而加载运行。“BHO劫持者”变种cic运行于“explorer.exe”进程以及“iexplore.exe”进程内部，隐藏自身，躲避安全软件的查杀。“BHO劫持者”变种cic运行后，在后台秘密监视用户的操作，当用户使用IE浏览器访问网站时可能会自动弹出网页窗口，干扰用户正常使用计算机。伪装成某安全软件的更新程序，显示“升级程序正在下载文件”的虚假窗口（实际上是连接到骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行）。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。另外，“BHO劫持者”变种cic还能够自升级。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    6、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-12 16:41     标题: 北京网络行业协会、江民科技联合发布9月16日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanSpy.Pophot.ary“焦点间谍”变种ary和Trojan/Genme.b“伪金蜜”变种b值得关注。

病毒名称：TrojanSpy.Pophot.ary
中 文 名：“焦点间谍”变种ary
病毒长度：30208字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.ary“焦点间谍”变种ary是“焦点间谍”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“焦点间谍”变种ary是由某木马程序释放出来的组件，一般被注册为浏览器辅助插件（BHO），以实现木马开机自动运行。“焦点间谍”变种ary运行在“IEXPLORE.EXE”进程内部，这样可以隐藏自我，躲避安全软件的查杀。强行篡改被感染计算机上的系统时间，致使某些安全软件失效。查找并强行关闭大量安全软件以及安全辅助工具，极大地降低了被感染计算机上的安全性。在后台连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行，给用户带来一定程度的危害。访问骇客指定的网站，增加某些网站的访问量，为骇客带来经济利益。另外，“焦点间谍”变种ary还可能会在各个盘符根目录下创建“autorun.inf”文件和病毒主程序，实现双击盘符启动“焦点间谍”变种ary的目的。

病毒名称：Trojan/Genme.b
中 文 名：“伪金蜜”变种b
病毒长度：7680字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Genme.b“伪金蜜”变种b是“伪金蜜”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“伪金蜜”变种b运行后，自我复制到被感染计算机的“%SystemRoot%\system32\”目录下，重命名为“mds.exe”。将自身添加为启动项，实现木马开机自动运行。在被感染计算机的后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。循环检测网络状态，当被感染计算机连接到网络时，“伪金蜜”变种b与骇客指定的服务器建立网络连接，骇客可通过“伪金蜜”变种b远程操作用户的计算机，可执行的操作可能包括：文件操作，进程操作，注册表操作，服务操作，屏幕监控，键盘记录，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-22 13:42     标题: 什么叫主动防御

主动防御就是预先拦截可疑行为……
据近期江民科技的一次黑客行为调查中发现，有相当一部分人喜欢做免杀之类的病毒逃过杀毒软件的查杀，造成现在每天新出第成百上千的病毒很多都是“免杀”的老毒物。调查中也显示，目前查杀免杀以及新的病毒最好的方式之一就是主动防御。

我们以kv2008为例来解释下。KV2008的主动防御相对于KV2007有较大改进，增强功能的同时减少了对正常程序的拦截免去不必要的操作。具体改进请参考之前的主题KV2008，让你产生全面新感受

有时候主动防御可能也会拦截正常软件的某些行为，用户请将拦截的正常程序加入到白名单中即可。

如何开启主动防御：


第一步：打开设置—主动防御,选中需要开启的功能组件，如果没有选中任何组件，那么主动防御将不会被开启。其中的服务器模式请慎用，选中后所有一切的可疑行为都会被阻止。

第二步：打开KV2008的实时监控。


分类介绍各组件：

网页防木马墙:预先拦截网页中可能存在的可疑代码。这些代码通常都是激活系统或者常见应用软件漏洞的代码，一旦代码被执行将会激活所利用的漏洞然后进行破坏。
强烈建议用户开启此功能。

未知病毒监控:这个组件会让KV2008定期检查系统（主要是内存中的进程），通过其内置的规则判断是否存在未知病毒。


隐私保护：用户在隐私保护中设置了待保护的内容后，当用户的系统中某程序试图通过网络发送被保护的内容前，KV2008会对它采取预先设定的操作（询问、禁止、允许）。

木马一扫光:拦截预先设定的注册表行为。危险的注册表操作可能导致病毒无法清除，甚至破坏系统。KV2008已经内置了非常多的保护内容，对关键区域都进行了保护。
初级用户请勿随便改动里面的规则设置，否则错误的设置规则会给您的日常使用带来不必要的麻烦。

系统监控:拦截其他的可疑行为，包括进程、文件等操作。在系统监控的设置处，有一个高级选项，这里是附带的高级功能，初级用户不建议使用。
然后我们建议用户开启这三项：


初级用户请勿随便改动里面的规则设置，否则错误的设置规则会给您的日常使用带来不必要的麻烦。

漏洞检查:利用系统漏洞是目前病毒传播的主要手段之一，开启漏洞检查后，KV2008会定期扫描系统是否存在漏洞，发现漏洞后按预先设定的操作。

善于利用主动防御功能将可有效的阻止病毒的入侵
KV2008默认了许多规则，已经可以很好的阻止病毒入侵，但仍然不能最大限度的发挥其强大的功能。如果用户对病毒以及系统都有较深的了解，不妨设定一个属于您自己的规则，设置规则其实非常简单，但是您必须得对系统等有必要的了解。
如果用户对系统等不是很了解，又想充分发挥主动防御的强大功能、最大限度的防止病毒入侵的话，不妨下载并安装江民社区中用户发布的KV2008主动防御规则包

---

作者: caobin    时间: 2008-9-22 13:42     标题: 北京网络行业协会、江民科技联合发布9月23日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/XPACK.cjw“X派”变种cjw和Trojan/FlyStudio.cq“苍蝇贼”变种cq值得关注。

英文名称：Trojan/XPACK.cjw
中文名称：“X派”变种cjw
病毒长度：171520字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/XPACK.cjw“X派”变种cjw是“X派”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“X派”变种cjw运行后，会自我复制到被感染计算机系统的“%SystemRoot%\help\”目录下，文件名随机生成，文件属性设置为系统、隐藏。在被感染计算机系统的“%SystemRoot%\help\”目录下释放一个恶意DLL文件，文件名随机生成，该文件经过加壳保护处理，文件属性设置为系统、隐藏。“X派”变种cjw是一个盗取《魔兽世界Online》、《热血江湖Online》、《洛汗Online》等台湾网络游戏会员账号的木马程序，在被感染计算机的后台秘密监视正在运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失，会给游戏玩家带来不同程度的损失。修改注册表，实现木马开机自动运行。在后台秘密监视用户打开的所有网页窗口标题，一旦发现某官方网站的会员登陆窗口便开始记录键击，窃取用户输入的会员帐号、密码等机密信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点上，给被感染计算机用户带来一定程度的损失。在被感染计算机的后台秘密窃取用户所使用系统的配置信息，然后从骇客指定的远程服务器站点下载恶意程序并在被感染计算机上调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户计算机带来一定程度的威胁。另外，“X派”变种cjw在被感染计算机系统中安装完毕后，创建批处理程序文件并调用执行，将病毒自身的主安装程序删除掉，达到消除痕迹的目的。

英文名称：Trojan/FlyStudio.cq
中文名称：“苍蝇贼”变种cq
病毒长度：132096字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/FlyStudio.cq“苍蝇贼”变种cq是“苍蝇贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL文件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀、被用户发现。“苍蝇贼”变种cq运行时，会在被感染计算机系统的后台秘密监视用户的键盘输入，窃取用户输入的大部分账号及密码等机密信息资料，并在后台将窃取的这些机密信息资料发送到骇客指定的远程服务器站点上或邮箱里，给被感染计算机用户带来不同程度的损失。在后台秘密连接骇客指定的服务器站点，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“苍蝇贼”变种cq远程控制被感染的计算机系统，给用户的计算机安全和个人隐私带来严重威胁，甚至还会对商业机密造成无法挽回的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等。更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    6、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    7、选择具备“网页防马墙”功能的杀毒软件（如KV2008），每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-23 13:41     标题: KV2008为网上冲浪护航

先从安装说起，这个安装前的扫描是很多杀毒软件都会有的功能，确保自己安装时的安全吧，安装过程中除了添加必要的启动服务，必要的启动项外还安装了江民自己的IE工具条IE browser Helper Objects（Jingmin Toolbar）和杀毒工具栏（即地址栏上的杀毒工具条），前者可以让用户无忧网上冲浪，后者是其实就是相当于快捷杀毒，很人性化。不过安装的时候没有选择安装这个的权力，呵呵。
　　以下截取和粘贴了部分图片参考：


再说主界面
[img]http://bbs.jiangmin.com/UploadFile/2008-1/200814201621740.png
主界面很炫，但是更简洁美观，最上面的菜单栏里提供了很多详细的配置和相关设置属性。（此处只提供几个有代表性的特色菜单）

这个扫描速度自定义我觉得是有江民自己特色的吧，哈哈。
　　接下来是很实用的为了应对毁灭性的系统错误而提供的应急补救措施，即引导区备份功能。怎么样？提供的方案是不是很简单实用？还有应急U盘创建的选项，看到这个你对江民心动没有？，还有它的重装机备份功能是不是也很吸引你的眼球呢？



再说细节配置方面：
    KV2008提供的特色功能也很抢眼，比如集成进程查看器


分析系统后出现：


进程查看器中的网络连接模块也相当强悍！我们已经知道江民有自己开发的专业级的防火墙，不过在没有安装其专业防火墙而只安装了杀毒软件的情况下，其已经对进程访问网络连接的情况表现出了强大的分析和检测功能！

---

作者: caobin    时间: 2008-9-23 13:41     标题: 北京网络行业协会、江民科技联合发布9月24日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Agent.anm“代理木马”变种anm和Trojan/PSW.QQPass.ucs“QQ大盗”变种ucs值得关注。

英文名称：Trojan/PSW.Agent.anm
中文名称：“代理木马”变种anm
病毒长度：66765字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.anm“代理木马”变种anm是“代理木马”木马家族中的最新成员之一，采用“Borland C++ 1999”编写，并且经过加壳保护处理。“代理木马”变种anm运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL文件，文件名随机生成。将释放出来的恶意DLL文件插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。在被感染计算机系统注册表的启动项中添加新键，实现木马开机自启动。“代理木马”变种anm具有破坏安全软件的功能，用户计算机一旦被感染，系统中的大部分安全软件都无法启动。另外，“代理木马”变种anm是一个专门盗取网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。

英文名称：Trojan/PSW.QQPass.ucs
中文名称：“QQ大盗”变种ucs
病毒长度：44661字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.ucs“QQ大盗”变种ucs是“QQ大盗”木马家族中的最新成员之一，采用Delphi语言编写，未经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL文件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀、被用户发现。修改注册表，实现木马开机自动运行。盗取即时通讯工具QQ用户名和密码，在被感染计算机的后台秘密监视用户系统中所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取QQ用户名和密码等信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点上（地址加密存放）。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-24 12:29     标题: 北京网络行业协会、江民科技联合发布9月25日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanSpy.OnLineGames.dzj“网游窃贼”变种dzj和Exploit.JS.Real.ad“Real蛀虫”变种ad值得关注。

英文名称：TrojanSpy.OnLineGames.dzj
中文名称：“网游窃贼”变种dzj
病毒长度：81408字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.OnLineGames.dzj“网游窃贼”变种dzj是“网游窃贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“网游窃贼”变种dzj是一个专门盗取“封印简讯Online”网络游戏玩家会员账号的木马，在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将窃取到的玩家机密信息发送到骇客指定的服务器站点上，致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失，会给游戏玩家带来不同程度的损失。同时，“网游窃贼”变种dzj还具有窃取玩家游戏账号密码保护资料的功能。如果游戏玩家发现自己的游戏账号被盗，请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同玩家的密码保护资料一同被骇客盗取，造成更大程度的损失。“网游窃贼”变种dzj会在被感染计算机的后台秘密监视用户打开的所有网页窗口，一旦发现“GASH网络游戏”官方网站的会员登陆窗口便开始记录用户输入的信息，从而达到窃取用户“GASH网络游戏”官方网站会员账号和密码等机密信息的目的，并在后台发送到骇客指定的远程服务器站点或邮箱，给被感染计算机用户带来一定程度的损失。“网游窃贼”变种dzj还会在被感染计算机系统的后台连接骇客指定远程服务器站点，获取“配置信息列表”文件“ff1.rar”，然后根据所获取的“配置信息列表”文件中的设置来执行相应的恶意操作。另外，“网游窃贼”变种dzj会通过在被感染计算机系统注册表启动项中添加键值的方式，来实现木马病毒开机自启动。

英文名称：Exploit.JS.Real.ad
中文名称：“Real蛀虫”变种ad
病毒长度：6201字节
病毒类型：脚本病毒
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.JS.Real.ad“Real蛀虫”变种ad是“Real蛀虫”脚本病毒家族中的最新成员之一，采用JavaScript脚本语言编写，并且代码经过多层加密保护处理。“Real蛀虫”变种ad是一个利用“Real Player媒体播放器”漏洞传播其它病毒的网页脚本病毒，一般内嵌在正常网页中，如果用户计算机没有及时升级修补“Real Player媒体播放器”相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种ad的恶意网页时，就会在当前用户的计算机的后台连接骇客指定的远程服务器站点，下载恶意程序并自动调用运行。其中，所下载的恶意程序可能是网游木马、流氓广告、后门等，给被感染计算机带来一定程度的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的网页并进行处理，有效保障用户上网安全。
    5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等。更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    6、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-25 13:43     标题: kv2008系统诊断

KV2008不仅仅增强了自我保护、提供了智能主动防御病毒、针对误杀融入了灾难恢复，还为我们提供了功能非常强大的安全辅助工具，例如进程查看器、系统诊断，其功能几乎可以与专业的冰刃、SREng等工具相媲美，有了这些再也不用去网上到处下载这些工具了，有了KV2008，你机器中多余的安全辅助工具就可以扔掉啦～


如图2，“江民杀毒软件系统诊断”，从界面上看，我们对比一下SREng，发现江民的扫描功能的选项比较全，基本上已经包括了SREng的全部功能模块，最人性化的是扫描时还显示出来要检测的内容，而SREng仅能在扫描完成后才会显示出来～如图3

点击系统诊断界面上“设置”按钮，可以调出“江民杀毒软件系统诊断”选项，在这里勾选我们需要扫描的项目，如图4所示:
* 建议全部勾选，因为隐藏文件和隐藏注册表扫描目标都使用默认目标．

我们设置完选项后，在“江民杀毒系统诊断”界面，我们选择“全部”会自动开始扫描，如果没有自动开始，请单击“重新扫描”按钮。

OK,我们看到扫描完成了，我们已经看到江民从系统安全的各方面详细的分析了系统的情况（系统诊断功能是不会收集用户隐私信息的），而且很智能地用不同的颜色表示出安全级别：红色代表危险、灰色代表文件不存在、黄色代表可疑，并且会把可疑的选项自动上报，所以如果你看不懂生成的报告，最好不要随便进行删除操作。我们可以这些诊断结果导出来生成报告发到江民论坛，会有专业的人员为我们分析的，到时我们只需按照高手的意见对其进行处理即可清除未知病毒～。单击“导出报告”，可能考虑到之前用户可能会对诊断结果做出修改，为了保证导出结果的即时性准确性，所以江民会再次扫描，所以接下来仍然需要等待一会儿：

OK,已经扫描完成，我们可以上论坛求助，也可以将诊断结果保存起来，这里我们选择“保存文件”，将结果保存起来

---

作者: caobin    时间: 2008-9-25 13:43     标题: 北京网络行业协会、江民科技联合发布9月26日病毒播报

江民今日提醒您注意：在今天的病毒中Backdoor/Frauder.as“诈骗犯”变种as和Trojan/PSW.QQPass.ucs“QQ大盗”变种ucs值得关注。

英文名称：Backdoor/Frauder.as
中文名称：“诈骗犯”变种as
病毒长度：29184字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Backdoor/Frauder.as“诈骗犯”变种as是“诈骗犯”后门家族的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并经过加壳处理。“诈骗犯”变种as在被感染计算机中每运行一次都会把自身重新复制到系统“%SystemRoot%\system32\”目录下一次，并以“VIE*.exe”（“*”号表示数字，以十六进制形式递增）的格式重新命名保存，这样会大量占用用户的系统磁盘空间。修改注册表，实现后门开机自动运行。在被感染计算机系统中的用户托盘区上显示红色“×”和黄色“！”图标，并显示虚假安全提示信息，诱惑用户点击。用户一旦点击了托盘中的提示图标，该后门就会调用IE浏览器，打开指定站点，弹出提示窗口。不管用户使用鼠标点击窗口中的“确定”还是“取消”按钮都会连接恶意网页，并执行虚假的“扫描查毒”操作。无论是“扫描查毒”过程中还是“扫描查毒”结束后，只要用户不小心点击了这个恶意网页中的任何一个位置，都会弹出下载窗口，诱导用户下载恶意软件并提示安装。所下载的恶意程序可能为流氓软件，在被感染计算机上安装运行后，可能会给用户带来很多不必要的麻烦，也许还会带来不同程度的损失。

英文名称：Trojan/PSW.QQPass.ucs
中文名称：“QQ大盗”变种ucs
病毒长度：44661字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.ucs“QQ大盗”变种ucs是“QQ大盗”木马家族中的最新成员之一，采用“Delphi”语言编写，是由其它恶意程序释放出来的DLL组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件和用户发现。修改注册表，实现木马开机自动运行。“QQ大盗”变种ucs是一个盗取即时通讯工具QQ用户名和密码的木马程序，在被感染计算机的后台秘密监视用户系统中所有应用程序的窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取QQ用户名和密码等信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点（地址加密存放）上，给用户带来一定程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、使用江民杀毒软件“安全助手/流氓软件清除”工具，该工具可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    6、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-26 19:07     标题: 局域网中ARP病毒的清除

以下涉及的工具网络中都可以下载到

1.打开AntiArp Sniffer，检查右侧【管理】栏内是否自动获取了网关地址，如果没获取，则手动输入网关地址，再单击【枚取MAC】。MAC地址获取后再单击【自动保护】即可！如图：


2.运行一段时间后，若弹出提示说“发现ARP欺骗数据包”，则可以在“欺骗数据详细记录”看到“欺骗机MAC地址”既是中了ARP病毒机器的地址。

3.到http://download.pchome.net/internet/safe/13190.html下载“网络执法官”。在“指定监控范围”中输入局域网的IP地址段，再单击“添加/修改”按钮。添加完成后点下方的【确定】，返回到主界面，就可以看到各个2电脑的内网IP 、用户名、mac地址。此时只要找到与上面查到的MAC地址对应的内网IP就知道是哪台计算机中了ARP病毒了！

4.升级杀毒软件到最新进行全盘扫描；如果没有安装杀毒软件，可以下载tsc.rar复制到中ARP病毒的机器上，解压tsc.rar，然后运行其中的TSC.EXE，扫描完毕后即可清除已知的感染的ARP病毒！

PS.如果是单机用户，您如果怀疑您中了ARP病毒，只需要执行第4步中的步骤即可！

对付ARP病毒，我们又多了一道保护屏障！它就是江民防火墙（11.0版）！

  安装好江民新版防火墙后，打开防火墙的设置：


然后只需简单的两步：

1.选中“启用防护功能”来开启ARP攻击防护。
2.连上网络，单击“自动检测本地网络设置”。

如下图：


稍等片刻，再点击右下角的【应用】和【确定】，此刻开始，您将享受江民新版防火墙的强大保护，免受ARP等攻击侵扰！

---

作者: caobin    时间: 2008-9-26 19:08     标题: 北京网络行业协会、江民科技联合发布9月27日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/KillAV.fq“AV杀手”变种fq和Trojan/FlyStudio.cp“苍蝇贼”变种cp值得关注。

英文名称：Trojan/KillAV.fq
中文名称：“AV杀手”变种fq
病毒长度：28672字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/KillAV.fq“AV杀手”变种fq是“AV杀手”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，未经过添加保护壳处理。“AV杀手”变种fq运行后，在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放一个恶意驱动程序“KPDrv.sys”，并以服务的方式安装运行。“AV杀手”变种fq运行时，会在被感染计算机的后台遍历当前系统中运行着的所有进程，一旦发现某些安全软件便会强行将其关闭，达到自我保护的目的。“AV杀手”变种fq还会在被感染计算机系统的后台连接骇客指定的服务器站点“www.*hx**.cn/”，下载恶意程序“net1.exe”并自动调用安装运行（安装后保存在“%SystemRoot%\system32\dllcache\lsosss.exe"”）。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。另外，“AV杀手”变种fq还会通过在被感染计算机中注册系统服务的方式来实现木马开机自启动。

英文名称：Trojan/FlyStudio.cp
中文名称：“苍蝇贼”变种cp
病毒长度：132096字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/FlyStudio.cp“苍蝇贼”变种cp是“苍蝇贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理，是由其它恶意程序释放出来的DLL组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”中运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“苍蝇贼”变种cp运行时，在被感染计算机系统的后台秘密监视用户的键盘输入，窃取用户输入的大部分账号及密码等机密信息资料，并在后台将窃取的用户机密信息发送到骇客指定的服务器站点上或邮箱里，给用户带来不同程度的损失。“苍蝇贼”变种cp还会在后台秘密连接骇客指定的服务器站点，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“苍蝇贼”变种cp远程控制被感染的计算机系统，给用户的计算机安全和个人隐私带来严重的威胁，甚至还会对商业机密造成无法挽回的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    6、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-27 13:54     标题: 利用KV清除OSO.EXE病毒

最近发现不少用户中了OSO.exe病毒
因为这个病毒清除比较容易但是使用了一些卑鄙的手法
使用系统注册表里的“执行重定向”功能
在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”这里添加反病毒程序，达到禁止的目的

我们可以使用江民KV很好的拦截这个猖獗的病毒
我们需要设置--系统监控--添加禁止病毒在这里创建

前提是KV的系统监控必须在开启的状态下，KV能正常运行！


我们打开KV2007的“设置”


选择-系统监控--设置--自定义

这里我们输入监控项名称--写上“禁试执行重定向”


在“监控目标”-我们选则“创建注册表项”单击下一步


在这里我们输入需要监控的注册表位置
写上“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”注意不包括引号！
在并且创建以下内容时
选择任意子项

在这里我们选择“通知我--由我决定是否允许”
这里我们也可以勾上“记录本次事件 点击完成-全部确定即可


之所以使用KV的系统监控在监视这里呢
我是这样想的如果我们使用注册表设置权限我觉得可能会导致一些正常的程序访问这里进行操作设置问题
使用KV的系统监控呢，我们设置的是“询问”发现正常的程序访问时我们可以加入系统监控白名单里或者允许它

---

作者: caobin    时间: 2008-9-27 13:54     标题: 北京网络行业协会、江民科技联合发布9月28日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Nilage.vn“尼拉葛”变种vn和Rootkit.Ressdt.d“SSDT杀手”变种d值得关注。

英文名称：Trojan/PSW.Nilage.vn
中文名称：“尼拉葛”变种vn
病毒长度：210944字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Nilage.vn“尼拉葛”变种vn是“尼拉葛”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户和安全软件发现、查杀。“尼拉葛”变种vn是一个专门盗取“乱Online”、“仙境传说Online”、“热血江湖Online”、“丝路Online”、“完美世界Online”、“洛汗Online”等网络游戏会员账号的木马程序，在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。同时，“尼拉葛”变种vn还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同玩家的密码保护资料一同被骇客盗取，造成更大程度的损失。另外，“尼拉葛”变种vn访问网络时，会在被感染计算机的后台调用系统IE浏览器进程“iexplore.exe”，并把恶意代码注入其中调用执行，与指定站点进行秘密通信等恶意操作。如果被感染计算机上已安装防火墙并已开启，该木马可利用用户设置的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。

英文名称：Rootkit.Ressdt.d
中文名称：“SSDT杀手”变种d
病毒长度：2304字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Ressdt.d“SSDT杀手”变种d是“SSDT杀手”木马家族中的最新成员之一，采用C语言编写，未经过加壳保护处理。“SSDT杀手”变种c在用户计算机系统注册运行后，利用内核级的反“SSDT HOOK”技术还原被感染计算机系统中的SSDT表（System Service Descriptor Table，系统服务描述表），导致大部分安全软件和杀毒软件的监控与主动防御功能失效，并结束这些安全软件和杀毒软件的进程，达到自我保护的目的。该恶意驱动程序只属于某病毒整体中的一个功能模块，在该恶意驱动运行之后，还会有其它的恶意文件一同进行系统的感染。一旦用户的计算机系统感染这些病毒，则很难清除干净。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上找回游戏密码，否则会连同您的密码保护资料一同被骇客盗取。
    6、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。  
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-28 15:30     标题: 用KV未知病毒扫描样本的方法

如果你的电脑运行速度变慢，怀疑有新的病毒，那么你可以用KV“未知病毒检测”程序扫描一下你的电脑，给你的电脑做一个体检。
方法如下：


      打开 KV 杀毒软件，依次点击：工具－》未知病毒检测－》检测未知病毒， 然后该程序就会扫描你电脑里面的文件，由于“未知病毒检测”程序是基于病毒行为判定的，因此即使在病毒库没有更新的情况下，你电脑中的病毒也会被“火眼金睛”般地识别出来。

当检测完毕后，程序会给你一个检测结果，一般地讲，那些没有公司名称的，中度可疑以上的都可以上报到江民反病毒中心，由专业的反病毒工程师在第一时间分析样本，添加到病毒库中。

欢迎大家踊跃上报病毒样本，为打造一个安全、无毒的上网环境发挥自己的光和热！

---

作者: caobin    时间: 2008-9-28 15:30     标题: 利用KV2008来取消文件夹隐藏共享

如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢?
原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。（如图01）

怎么来消除默认共享呢?方法一般都是打开注册表编辑器，进入
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetSevices\Lanman\workstation\parameters”
新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了，对于菜鸟来说风险很大 。


现在可以通行KV2008来实现：



打开KV2008主界面单击系统安全中的共享管理（如图02），




在打开的共享管理界面单击永处删除默认共享（如图03）

永处删除默认共享后的共享中的显示（如图04）

想要恢复也很简单。

---

作者: caobin    时间: 2008-9-28 15:30     标题: 北京网络行业协会、江民科技联合发布9月29日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Agent.ann“代理木马”变种ann和TrojanDropper.Psyme.gke“怕米”变种gke值得关注。

英文名称：Trojan/PSW.Agent.ann
中文名称：“代理木马”变种ann
病毒长度：243200字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.ann“代理木马”变种ann是“代理木马”家族中的最新成员之一，采用Borland C++编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件和用户发现。“代理木马”变种ann具有破坏安全软件的功能，用户计算机一旦被感染，系统中的大部分安全软件都无法启动。在被感染计算机系统注册表的启动项中添加键值，实现木马开机自启动。另外，“代理木马”变种ann是一个专门盗取网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。

英文名称：TrojanDropper.Psyme.gke
中文名称：“怕米”变种gke
病毒长度：3261字节
病毒类型：木马释放器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Psyme.gke“怕米”变种gke是“怕米”木马释放器家族中的最新成员之一，采用“VBScript”脚本语言编写，并且经过加密保护处理。“怕米”变种gke运行时，会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://g*l**l.*h.com/”，下载恶意程序“1.exe”、“2.exe”、“3.exe”、“4.exe”、“5.exe”、“6.exe”、“7.exe”、“8.exe”、“9.exe”、“10.exe”并自动调用安装运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来不同程度的损失。“怕米”变种gke会在被感染计算机系统中的所有盘符根目录下创建“autorun.inf”自动播放配置文件和病毒主程序文件“system.vbs”（“怕米”变种gke），文件属性设置为系统、隐藏、只读、存档，实现双击盘符启动“怕米”变种gke的目的，从而利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播，给被感染的计算机用户带来潜在的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    5、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    6、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-28 15:31     标题: 北京网络行业协会、江民科技联合发布9月30日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanSpy.OnLineGames.dzl“网游窃贼”变种dzl和Rootkit.Ressdt.c“SSDT杀手”变种c值得关注。

英文名称：TrojanSpy.OnLineGames.dzl
中文名称：“网游窃贼”变种dzl
病毒长度：86528字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.OnLineGames.dzl“网游窃贼”变种dzl是“网游窃贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被发现和查杀。“网游窃贼”变种dzl是一个专门盗取日本网络游戏“仙境传说Online”会员账号的木马程序，会在被感染计算机的后台秘密监视运行着的所有应用程序窗口标题，利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将玩家机密信息发送到骇客指定站点上，致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失，给游戏玩家带来一定程度的损失。在被感染计算机的后台秘密监视用户打开的所有网页窗口，一旦发现“yahoo”日本官方网站的会员登陆窗口便记录键击，窃取用户“yahoo”日本官方网站会员账号、密码等机密信息，并在后台发送到骇客指定的远程服务器站点上或邮箱里，给被感染计算机用户带来不同程度的损失。另外，“网游窃贼”变种dzl会在被感染计算机系统注册表启动项中添加键值，以实现木马的开机自启动。

英文名称：Rootkit.Ressdt.c
中文名称：“SSDT杀手”变种c
病毒长度：2304字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Ressdt.c“SSDT杀手”变种c是“SSDT杀手”木马家族中的最新成员之一，采用C语言编写，未经过加密保护处理。“SSDT杀手”变种c在用户计算机系统注册运行后，利用内核级的反“SSDT HOOK”技术还原被感染计算机系统中的SSDT表（System Service Descriptor Table，系统服务描述表），导致大部分安全软件和杀毒软件的监控与主动防御功能失效，并结束这些安全软件和杀毒软件的主程序进程与监控程序进程，达到自我保护的目的。该恶意驱动程序只属于某病毒的一个功能模块，随着该恶意驱动程序的运行，还会有其它恶意程序也被一同安装到被感染计算机系统中。一旦用户计算机系统感染这些病毒，则很难清除干净。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，能有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    6、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-28 15:31     标题: 北京网络行业协会、江民科技联合发布10月1日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Agent.ann“代理木马”变种ann和TrojanDropper.Psyme.gke“怕米”变种gke值得关注。

英文名称：Trojan/PSW.Agent.ann
中文名称：“代理木马”变种ann
病毒长度：243200字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.ann“代理木马”变种ann是“代理木马”家族中的最新成员之一，采用Borland C++编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件和用户发现。“代理木马”变种ann具有破坏安全软件的功能，用户计算机一旦被感染，系统中的大部分安全软件都无法启动。在被感染计算机系统注册表的启动项中添加键值，实现木马开机自启动。另外，“代理木马”变种ann是一个专门盗取网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。

英文名称：TrojanDropper.Psyme.gke
中文名称：“怕米”变种gke
病毒长度：3261字节
病毒类型：木马释放器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Psyme.gke“怕米”变种gke是“怕米”木马释放器家族中的最新成员之一，采用“VBScript”脚本语言编写，并且经过加密保护处理。“怕米”变种gke运行时，会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://g*l**l.*h.com/”，下载恶意程序“1.exe”、“2.exe”、“3.exe”、“4.exe”、“5.exe”、“6.exe”、“7.exe”、“8.exe”、“9.exe”、“10.exe”并自动调用安装运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来不同程度的损失。“怕米”变种gke会在被感染计算机系统中的所有盘符根目录下创建“autorun.inf”自动播放配置文件和病毒主程序文件“system.vbs”（“怕米”变种gke），文件属性设置为系统、隐藏、只读、存档，实现双击盘符启动“怕米”变种gke的目的，从而利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播，给被感染的计算机用户带来潜在的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    5、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    6、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-30 13:16     标题: 利用KV2008有效防U盘病毒MS-DOS.com

本周一款U盘病毒修改替换包括dllcache目录下的系统Shell文件（explorer.exe）以及注册表编辑器（regedit.exe），劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。如图所示：

该病毒写入如下启动项：

修改REG文件关联到： %systemroot%\pchealth\Global.exe
利用劫持阻止以下程序运行：

释放主要文件如下:

各个盘符下的autorun.inf以及MS-DOS.com
使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名会有以下结果：

由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。为防止该病毒修改了注册表编辑器打开“江民设置程序”=》“主动防御”=》“系统监控”中单击高级选项进入高级选项后勾选“严模式”如图所示：


为更好的防御该病毒的入侵最好设置“移动设备存储控制”功能，江民对毒病毒真的很有一套，“移动设备存储控制”功能主要是为对付U盘病毒设计的，当用户插入U盘时会首先进行拦截，只有当用户输入正确的口令才可以继续对U盘进行操作，这样就可以防止病毒侵入了，不仅如此，此功能还可以为你的电脑保密，为什么这么说呢？我们知道电脑上的文件很容易被小小的U盘带走，如果当你不在时，别人可以很轻易将你电脑上的资料（商业机秘，个人隐私）拿走，后果不堪设想，OK，现在有了KV2008，只要开启“移动存储控制功能”，并且设置一个口令，我们就可以为我们的移动存储设备加个锁，这样既可以防病毒又可以保护资料，何乐而不为呢？


如何开启移动存储控制功能？不要着急，慢慢跟我来，我们打开江民杀毒软件主界面，单击“工具”－“设置”，在“江民设置程序”中选择“保护密码”，我们勾选“移动设备存储”选项，并且一定要注意勾选“修改密码/设置密码”选项否则不会生效，然后设置好访问U盘的密码，单击“确定”，重新启动计算机，大功告成～

---

作者: caobin    时间: 2008-9-30 13:16     标题: 北京网络行业协会、江民科技联合发布10月2日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Agent.anm“代理木马”变种anm和Trojan/FlyStudio.cr“苍蝇贼”变种cr值得关注。

英文名称：Trojan/PSW.Agent.anm
中文名称：“代理木马”变种anm
病毒长度：66765字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.anm“代理木马”变种anm是“代理木马”家族中的最新成员之一，采用“Borland C++ 1999”编写，并且经过加壳保护处理。“代理木马”变种anm运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL功能组件，文件名随机生成。将释放出来的恶意DLL组件程序插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。在被感染计算机系统注册表的启动项中添加键值，实现木马开机自启动。“代理木马”变种anm具有破坏安全软件的功能，用户计算机一旦被感染，系统中的大部分安全软件都无法启动。另外，“代理木马”变种anm是一个专门盗取网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。

英文名称：Trojan/FlyStudio.cr
中文名称：“苍蝇贼”变种cr
病毒长度：137728字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/FlyStudio.cr“苍蝇贼”变种cr是“苍蝇贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“苍蝇贼”变种cr运行时，会在被感染计算机系统的后台秘密监视用户的键盘输入，窃取用户输入的大部分账号及密码等机密信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点上或邮箱里，给用户带来一定程度的损失。在系统后台秘密连接骇客指定的服务器站点，侦听骇客指令，在被感染的计算机上执行相应的恶意操作。骇客可通过“苍蝇贼”变种cr远程控制被感染的计算机系统，给用户的计算机安全和个人隐私带来严重的威胁，甚至还会对商业机密造成无法挽回的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。   
    5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-30 13:16     标题: 北京网络行业协会、江民科技联合发布10月3日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanSpy.WOW.bi“魔兽杀手”变种bi和Rootkit.Clbd.ez“彩带”变种ez值得关注。

英文名称：TrojanSpy.WOW.bi
中文名称：“魔兽杀手”变种bi
病毒长度：30276字节
病毒类型：间谍类木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.WOW.bi“魔兽杀手”变种bi是“魔兽杀手”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。“魔兽杀手”变种bi运行后，会在被感染计算机系统的临时文件夹下释放一个恶意DLL功能组件“WowInitcode.dll”。“魔兽杀手”变种bi是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。同时，“魔兽杀手”变种bi还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上登陆官方网站去找回游戏密码，否则会连同您的密码保护资料一同被骇客盗取，给您带来更大程度的损失。另外，“魔兽杀手”变种bi会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。

英文名称：Rootkit.Clbd.ez
中文名称：“彩带”变种ez
病毒长度：32768字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Clbd.ez“彩带”变种ez是“彩带”木马家族中的最新成员之一，该病毒是由其它恶意程序释放出来的DLL功能组件，采用高级语言编写，并且经过加壳保护处理。“彩带”变种ez运行后，篡改注册表等系统配置信息，致使被感染计算机系统不论是使用正常模式启动还是使用安全模式启动，都会自动加载“彩带”变种ez启动运行。挂钩系统服务、监视新进程的创建，实现在用户运行任意程序时，“彩带”变种ez都能够把自身组件程序插入到用户所运行的程序中加载执行。另外，“彩带”变种ez还利用了Rootkit技术，挂钩系统函数，隐藏病毒文件和病毒在注册表中的启动项，防止被安全软件查杀。用户计算机一旦感染该病毒，则很难清除干净。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上找回游戏密码，否则会连同您的密码保护资料一同被骇客盗取。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-9-30 13:17     标题: 北京网络行业协会、江民科技联合发布10月4日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.OnLineGames.uyt“网游窃贼”变种uyt和Rootkit.Ressdt.e“SSDT杀手”变种e值得关注。

英文名称：Trojan/PSW.OnLineGames.uyt
中文名称：“网游窃贼”变种uyt
病毒长度：65272字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.uyt“网游窃贼”变种uyt是“网游窃贼”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该木马是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“网游窃贼”变种uyt是一个专门盗取“传奇世界Online”和“冒险岛Online”韩服网络游戏玩家会员账号的木马程序，在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将窃取到的玩家信息发送到骇客指定的远程服务器站点上，致使游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来一定的损失。“网游窃贼”变种uyt还会在被感染计算机的后台调用系统IE浏览器进程“iexplore.exe”，并把恶意代码注入到其中调用执行，与指定站点进行秘密通信等恶意操作。如果被感染计算机上已安装了防火墙并启用，就可以利用用户设置的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。另外，“网游窃贼”变种uyt会在注册表启动项中添加键值，实现木马开机自启动。

英文名称：Rootkit.Ressdt.e
中文名称：“SSDT杀手”变种e
病毒长度：2304字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Ressdt.e“SSDT杀手”变种e是“SSDT杀手”木马家族中的最新成员之一，是一个采用C语言编写而成的恶意驱动程序，未经过加密保护处理。“SSDT杀手”变种e在用户计算机系统安装运行后，利用内核级的反“SSDT HOOK”技术还原被感染计算机系统中的SSDT表（System Service Descriptor Table，系统服务描述表），致使大部分安全软件和杀毒软件的监控与主动防御功能失效，从而试图结束这些安全软件和杀毒软件的进程，达到自我保护的目的。其中，该恶意驱动程序属于某病毒整体中的一个功能模块，随着该恶意驱动程序的运行，还会有其它恶意程序也一同被安装到用户的计算机系统中。用户的计算机一旦感染这些病毒，则很难清除干净。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。   
    5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-5 21:31     标题: 北京网络行业协会、江民科技联合发布10月5日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/AutoRun.sa“U盘寄生虫”变种sa和TrojanSpy.Pophot.bhc“焦点间谍”变种bhc值得关注。

英文名称：Worm/AutoRun.sa
中文名称：“U盘寄生虫”变种sa
病毒长度：14353字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.sa“U盘寄生虫”变种sa是“U盘寄生虫”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++”编写，并且经过加壳保护处理。“U盘寄生虫”变种sa运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“专杀”、“防火墙”、“杀毒”等）的窗口，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。遍历当前系统中的所有进程，一旦发现某些安全软件进程存在，便会尝试结束其进程，试图将其关闭，达到自我保护的目的。“U盘寄生虫”变种sa会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件“svs.pif”（“U盘寄生虫”变种sa），实现双击盘符启动“U盘寄生虫”变种sa的目的，从而利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的功能，给计算机用户带来潜在的威胁。“U盘寄生虫”变种sa会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://m.*5x*.com/dd/”，下载恶意程序“x.pif”、“1.pif”、“2.pif”、“3.pif”、“4.pif”、“5.pif”、“6.pif”、“7.pif”、“8.pif”、“9.pif”、“10.pif”并自动调用安装运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。另外，“U盘寄生虫”变种sa还会通过在系统“启动”文件夹中创建病毒主程序文件的方式来实现蠕虫开机自启动。

英文名称：TrojanSpy.Pophot.bhc
中文名称：“焦点间谍”变种bhc
病毒长度：244224字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.bhc“焦点间谍”变种bhc是“焦点间谍”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户和安全软件查杀。“焦点间谍”变种bhc运行后，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。在后台秘密监视被感染计算机上的窗口标题，一旦发现与安全相关的窗口弹出便立刻强行将其关闭，大大地降低了被感染计算机的安全性。在后台连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行，给用户带来一定程度的危害。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    4、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。  
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-5 21:31     标题: 北京网络行业协会、江民科技联合发布10月6日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanDownloader.Agent.acin“代理木马”变种acin和Trojan/PSW.Nilage.bzg“尼拉葛”变种bzg值得关注。

英文名称：TrojanDownloader.Agent.acin
中文名称：“代理木马”变种acin
病毒长度：32768字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.acin“代理木马”变种acin是“代理木马”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，未经过添加保护壳处理。“代理木马”变种acin运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“xpsystem.exe”。在被感染计算机的后台秘密监视用户系统中运行的所有窗口标题，一旦发现“清理”、“马”、“毒”、“警告”、“文件夹选项”、“进程”、“任务管理”、“ic”、“防火墙”等与安全相关的关键字，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，达到自我保护的目的。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://www.h*xh*.cn/”，下载恶意程序“KillJpg.exe”、“MakeDir.exe”、“winrun.exe”并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来不同程度的损失。在被感染计算机系统中定时弹出恶意广告网页或恶意广告条窗口（这些恶意广告网页中可能已经被挂了网页木马，会对存在漏洞的系统带来一定程度的安全隐患），提高这些恶意网站的访问量（网络排名），不仅给骇客带来经济利益，而且还会严重影响和干扰用户的正常操作。另外，“代理木马”变种acin还会占用大量系统资源，极大地降低了系统的运行速度。

英文名称：Trojan/PSW.Nilage.bzg
中文名称：“尼拉葛”变种bzg
病毒长度：17920字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Nilage.bzg“尼拉葛”变种bzg是“尼拉葛”木马家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写，并且经过加壳保护处理。“尼拉葛”变种bzg运行后，自我复制到被感染计算机系统的指定目录下，并重新命名保存。“尼拉葛”变种bzg是一个专门盗取网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://www.c*i20*.cn/*m*s/push.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“尼拉葛”变种bzg会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。   
    4、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-6 16:20     标题: 北京网络行业协会、江民科技联合发布10月7日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanDownloader.FraudLoad.db“诈骗器”变种db和Trojan/PSW.Moshou.atp“魔兽”变种atp值得关注。

英文名称：TrojanDownloader.FraudLoad.db
中文名称：“诈骗器”变种db
病毒长度：35851字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.FraudLoad.db“诈骗器”变种db是“诈骗器”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。“诈骗器”变种db运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL功能组件“gcsto.dll”和一个图标文件“c.ico”。还会在被感染计算机系统的“收藏夹”里和“桌面”上各创建一个快捷方式文件“VIP Casino.url”。只要用户运行快捷方式，就会通过IE浏览器打开恶意网站“http://www.g*l*ip*lu*.com/adv.asp?affid=760”。“诈骗器”变种db运行时，将释放出来的恶意DLL组件“gcsto.dll”插入到被感染计算机系统的“explorer.exe”和“iexplore.exe”进程中加载运行，并在后台执行相应的恶意操作，隐藏自我，防止被查杀。在被感染计算机上定时弹出恶意广告网页，给用户带来一定的干扰。“诈骗器”变种db还会从骇客指定站点下载恶意程序并在被感染计算机上自动安装运行，给用户带来不同程度的损失。另外，“诈骗器”变种db还会在被感染计算机系统中将自身注册为BHO（Browser Helper Object，浏览器辅助对象），实现木马随IE浏览器的启动而加载运行的目的。

英文名称：Trojan/PSW.Moshou.atp
中文名称：“魔兽”变种atp
病毒长度：147456字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Moshou.atp“魔兽”变种atp是“魔兽”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户和安全软件发现。“魔兽”变种atp是一个专门盗取网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“魔兽”变种atp会在系统注册表启动项中添加键值，实现木马病毒开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    6、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-7 15:47     标题: 北京网络行业协会、江民科技联合发布10月8日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Agent.ann“代理木马”变种ann和Trojan/StartPage.btl“初始页”变种btl值得关注。

英文名称：Trojan/PSW.Agent.ann
中文名称：“代理木马”变种ann
病毒长度：243200字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.ann“代理木马”变种ann是“代理木马”家族中的最新成员之一，采用“Borland C++”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀、被用户发现。修改注册表，实现木马开机自动运行。“代理木马”变种ann具有破坏安全软件的功能，用户计算机一旦被感染，系统中的大部分安全软件都无法启动。另外，“代理木马”变种ann还是一个专门盗取网络游戏会员账号的木马程序，在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。

英文名称：Trojan/StartPage.btl
中文名称：“初始页”变种btl
病毒长度：46080字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.btl“初始页”变种btl是“初始页”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，未经过添加保护壳处理。“初始页”变种btl运行时，强行篡改被感染计算机的IE浏览器属性，实现IE浏览器默认首页为骇客指定站点，导致用户一打开IE浏览器就连接骇客指定站点，增加某些恶意网站的访问量，给骇客带来经济利益。该网站可能已经被挂了网页木马，对存在漏洞的系统会带来一定程度的安全隐患。“初始页”变种btl会通过在注册表启动项中添加键值的方式来实现木马开机自启动。另外，“初始页”变种btl具有自动更新功能，会根据骇客指定的站点的配置文件来决定自身是否需要升级更新。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    5、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    6、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    7、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-7 15:47     标题: “十一”长假35万台计算机染毒 谨防病毒盗号和网络钓鱼

10月6日，据江民反病毒中心统计数据显示，在刚刚结束的十一长假期间共截获病毒种类68178种，有352530台计算机感染病毒。其中，专家提醒应特别关注 “魔兽杀手”变种bi病毒和“彩带”变种ez病毒网上盗号以及“QQ大盗”变种网络钓鱼。

   “魔兽杀手”变种bi是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、密码等私密信息，尤其值得关注的是，该病毒还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上登陆官方网站去找回游戏密码，否则会连同您的密码保护资料一同被骇客盗取，给用户带来更大程度的损失。

   “彩带”变种ez运行后，会篡改注册表等系统配置信息，致使被感染计算机系统不论是使用正常模式启动还是使用安全模式启动，都会自动加载“彩带”变种ez启动运行。病毒还会挂钩系统服务、监视新进程的创建，实现在用户运行任意程序时，病毒都能够把自身组件程序插入到用户所运行的程序中加载执行。另外，“彩带”变种ez还利用了Rootkit技术，挂钩系统函数，隐藏病毒文件和病毒在注册表中的启动项，防止被安全软件查杀。用户计算机一旦感染该病毒，则很难清除干净，给用户带来严重的损失。
       
   此外，长假前江民反病毒中心还监测到“QQ大盗”病毒变种打着“QQ十周年庆典回馈活动”的旗号网络钓鱼。病毒通过弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗，从而利用让用户交纳手续费的方式来骗取其钱财。该病毒的文件长度为47709 字节，采用VB语言编写，并且经过加壳保护处理。病毒的文件图标与腾讯的小企鹅十分相似,只是细看起来清晰度很差,很容易让人误以为是腾讯官方的程序。近期该病毒的变种数量不断上升，有大量用户计算机系统感染该病毒。

   截止10月6日中午，病毒钓鱼网站“http://qqxm2.cn/ndex.htm”仍然在正常运行，QQ用户切莫上当受骗。
       
   江民反病毒专家建议广大用户，节后上班第一天要及时升级杀毒软件，要选用具备“主动防御”和“自我保护”功能的杀毒软件，上网时要开启江民杀毒软件的实时监控功能。同时专家特别指出，由于病毒普遍采用了较为先进的隐藏技术，普通的安全工具软件根本无法查出，因此千万不要因为已经安装了网上免费的安全工具软件而掉以轻心，给自己的财产带来巨大的损失。江民杀毒软件KV2008具有超强内核级自我保护技术、反病毒Rootkit/Hook技术、智能主动防御等众多领先的计算机反病毒技术，可有效防御病毒于系统之外。

---

作者: caobin    时间: 2008-10-10 13:23     标题: 关于kv密保常见的几个问题

问：如果我不小心忘记了我设置的密码怎么办？

这点KV2008也为用户想到了，您可以点击KV2008主界面的服务--------清除保护密码，输入自己的通行证来清除保护密码


问：如果我想修改设置好的保护密码选项怎么办？

你可以先在保护密码设置里面输入验证密码(就是你当初设置的密码)进行修改设置


问：我想修改设置过的密码怎么办？

你可以先在保护密码设置里面输入验证密码(就是你当初设置的密码)进行修改设置(图12)然后在点击修改密码/设置新密码，再进行密码设置

---

作者: caobin    时间: 2008-10-10 13:23     标题: 北京网络行业协会、江民科技联合发布10月11日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanDownloader.Agent.acpt“代理木马”变种acpt和Exploit.MS07004.c“MS07-004漏洞利用者”变种c值得关注。

英文名称：TrojanDownloader.Agent.acpt
中文名称：“代理木马”变种acpt
病毒长度：48128字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.acpt“代理木马”变种acpt是“代理木马”下载器家族中的最新成员之一，是由其它恶意程序释放出来的DLL文件，采用“Borland Delphi”编写，并且经过加壳保护处理。“代理木马”变种acpt运行时，会将自身插入到系统桌面程序“explorer.exe”的进程中加载运行，隐藏自我，防止被发现和查杀。修改注册表，实现木马开机自动运行。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现指定的进程，便强行篡改系统日期，以利用某些安全软件存在的“时间判断”缺陷使其保护功能失效，进而达到自我保护的目的。与此同时，病毒会查找安全软件的相关进程，一旦发现便自动发送命令将其强行结束。更为严重的是，该病毒会在被感染计算机系统的后台秘密连接骇客指定的远程服务器，获取恶意程序下载地址列表，下载列表中的所有恶意程序并自动调用安装运行。其中，所下载的恶意程序包括“木马下载器程序”、“恶意流氓软件”、著名下载软件“迷你**”商业版等，给用户的计算机安全带来严重的威胁。“代理木马”变种acpt还具有进程守护功能，当病毒发现自身调用的IE浏览器进程“iexplore.exe”被用户结束掉时，就会马上利用系统桌面程序进程“explorer.exe”把IE浏览器进程“iexplore.exe”重新调用运行，然后继续执行恶意操作。另外，“代理木马”变种acpt还具有利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的能力。

英文名称：Exploit.MS07004.c
中文名称：“MS07-004漏洞利用者”变种c
病毒长度：1155字节
病毒类型：脚本病毒
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.MS07004.c“MS07-004漏洞利用者”变种c是“MS07-004漏洞利用者”脚本病毒家族中的最新成员之一，采用JavaScript脚本语言编写，并且经过多层加密保护处理。“MS07-004漏洞利用者”变种c是一个利用“MS07-004”漏洞传播其它病毒的网页脚本病毒，一般内嵌在正常网页中。如果用户计算机没有及时升级修补“MS07-004”相应的漏洞补丁，那么当用户使用浏览器访问带有“MS07-004漏洞利用者”变种c的恶意网页时，就会在当前用户计算机的后台连接骇客指定远程服务器站点“http://www.pl*yu*i*.net/”，下载恶意程序“down.exe”并自动调用运行。其中，所下载的恶意程序可能是网游木马、流氓广告、病毒后门等，会给被感染计算机的用户带来一定的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机安全。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入计算机。
    7、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞并及时进行修复，以避免病毒利用微软漏洞攻击计算机。
    8、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-11 13:36     标题: 北京网络行业协会、江民科技联合发布10月12日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/AutoIt.a“多面杀手”变种a和TrojanClicker.Small.ben“小不点”变种ben值得关注。

英文名称：Worm/AutoIt.a
中文名称：“多面杀手”变种a
病毒长度：84992字节
病毒类型：蠕虫
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoIt.a“多面杀手”变种a是“多面杀手”蠕虫家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户和安全软件发现。“多面杀手”变种a是一个专门盗取网络游戏“科南时代Online”、“惊天动地Online”、“魔兽世界Online”、“骑士Online”、“丝路传说Online”、“冒险岛Online”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。“多面杀手”变种a运行时，还会在被感染计算机系统的后台连接骇客指定的远程服务器站点获取配置信息列表文件“help.rar”（文件加密，包括：病毒版本号、更新日期、恶意网站地址等），然后根据配置信息列表文件中的设置来执行相应的恶意操作。另外，“多面杀手”变种a还会修改注册表，实现蠕虫开机自启动。

英文名称：TrojanClicker.Small.ben
中文名称：“小不点”变种ben
病毒长度：20480字节
病毒类型：木马点击器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanClicker.Small.ben“小不点”变种ben是“小不点”木马点击器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“小不点”变种ben运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“sovlost.exe”。“小不点”变种ben运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题和类名，一旦发现标题或类名中存在与安全相关的字符串（如“主动防御”、“允许”等）的窗口，便会尝试模拟点击“总是允许”按钮，然后利用安全软件本身自带的白名单机制试图躲避其防御，达到自我保护的目的。另外，“小不点”变种ben会通过在系统注册表启动项中添加新键的方式来实现木马点击器开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-11 13:37     标题: 北京网络行业协会、江民科技联合发布10月13日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/Vundo.efn“雾毒”变种efn和Exploit.HTML.IframeBof.ad“Iframe溢出者”变种ad值得关注。

英文名称：Trojan/Vundo.efn
中文名称：“雾毒”变种efn
病毒长度：87040字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vundo.efn“雾毒”变种efn是“雾毒”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被发现和查杀。“雾毒”变种efn是一个专门盗取日本网络游戏“仙境传说Online”玩家会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的这些机密信息资料发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失，给游戏玩家带来不同程度的损失。在被感染计算机的后台秘密监视用户打开的所有网页窗口，一旦发现“yahoo”日本官方网站的会员登陆窗口便开始记录击键，从而达到窃取用户“yahoo”日本官方网站会员账号和会员密码等机密信息的目的，并在后台将窃取到的机密信息发送到骇客指定的远程服务器站点中或邮箱里，给被感染计算机用户带来一定程度的损失。“雾毒”变种efn还会在被感染计算机系统的后台连接“http://s*nr*.com/x*bv/”，获取“配置信息列表”文件“uu1.rar”（加密保存，包括：病毒版本号、更新日期、恶意网站地址等），然后根据所获取的“配置信息列表”文件中的设置来执行相应的恶意操作。另外，“雾毒”变种efn还会修改注册表，实现木马开机自启动。

英文名称：Exploit.HTML.IframeBof.ad
中文名称：“Iframe溢出者”变种ad
病毒长度：2176字节
病毒类型：脚本病毒
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.HTML.IframeBof.ad“Iframe溢出者”变种ad是“Iframe溢出者”脚本病毒家族中的最新成员之一，采用“HTML”语言编写，并且经过加密保护处理。“Iframe溢出者”变种ad是一个利用内嵌在正常网页中的“iframe”恶意代码（该恶意代码中有一条是连接到骇客指定的恶意挂马网址）来传播其它恶意程序的脚本病毒。如果用户计算机没有及时安装微软或其它应用软件发布的相应漏洞的补丁，那么当用户使用浏览器访问带有“Iframe溢出者”变种ad的恶意网页时，就会在当前用户计算机的后台访问骇客指定的恶意挂马站点，下载其它恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能是网游木马、流氓广告、病毒后门等，会给被感染计算机用户带来一定程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    4、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞并及时更新Windows操作系统，以避免病毒利用微软漏洞攻击计算机，造成损失。
    5、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    6、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等。尽量避免登录陌生或不可靠的网站，避免病毒利用其他应用软件漏洞进行木马病毒的传播。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-13 13:45     标题: Kv2008使用小贴士

1.有用户在对江民杀毒软件充值后，发现在帮助-关于授权信息里的使用到期时间没有改变，遇到这种情况只需要点击主界面-服务-直接获取授权即可解决。
　　
　　2.现在很多用户使用网络银行等在线帐户服务，因此个人帐户安全变得尤为重要，江民为此提供了相应的保护措施，可以进行以下设置：
　　
　　打开kv2008的设置菜单，点击主动防御标签下的隐私保护子标签，在这里输入您相应的帐户信息，江民杀毒软件会阻止设置的隐私信息发送到不安全的网站服务器。

　　○注：如果需要更为专业全面的隐私保护请安装江民密保08版与kv2008配套使用。
　　
　　3.让下载、办公变得更安全，可以进行如下设置：
　　
　　打开kv2008的设置菜单，点击嵌入标签，在这里江民提供了对常用下载办公软件的嵌入支持，勾选相应的软件点击确定即可。至于不在例表里的软件也是可以操作的，以Orbit为例，点击Orbit的配置，打开病毒防护选项卡，浏览选择江民安装目录下的kvscan.kxp点击确定即可

4.有用户反映kv2008在打开网页监控之后打开网页比较慢，有这类问题的朋友可以做如下调整：
　　
　　打开kv2008的设置菜单，点击监视标签下的网页监视子标签，将检查方式由默认的快速检查改为流式检查，至于网页监视模式可以根据您使用的浏览器决定，如果使用IE（包括某些IE内核浏览器，比如傲游1代、GB）上网的话，那么就选择IE模式；如果使用火狐浏览器以及其他非IE内核的浏览器上网，那么就选择所有模式。需要注意的是傲游2代浏览器也需要选择网页监视模式为所有模式，如果使用IE上网，但需要监视其他访问网络的程序（比如下载软件等），就选择所有模式。
　　
　　5.对于重装机的用户来说建议在重新安装系统前使用重装机备份制作安装包，用于安装。也可以去江民官方网站下载最新的安装包以减少升级所需要的下载量，并且最新安装包修复了最新的问题。对于升级故障的用户也可以采用删除江民后下载最新的安装包进行安装修复。
　　
　　6.对于疑似中毒的计算机如果扫描不出病毒可以采用江民自带的进程查看器进行进程查看，对有签名等安全进程江民会自动识别并在危险度一栏给予提示，而未给予安全提示的进程就需要进行检测了，可以将可疑文件发送到江民的病毒上报邮箱virus@jiangmin.com进行检测确认。
　　
　　7.现在各式各样的流氓软件层出不穷，甚至连反流氓软件也参差不齐，其实我们完全没有必要再去为选择反流氓软件而烦恼，kv2008作为一款功能相当完善的安全软件已经具备查杀流氓软件的功能，打开江民安全助手你会发现这里可以进行恶意软件检测、插件管理、系统清理、系统漏洞检测、系统修复甚至系统优化的操作呢！
　　
　　8.用户经常遇到病毒查杀后重启电脑依然存在的现象，以往到安全模式才能彻底清除，而使用kv2008的BootScan功能就没有这么麻烦了，具体可以在kv2008的选项设置里的启动前扫描标签下设置，默认是开启的哦。
　　
　　9.不少局域网用户经常受到arp病毒的侵害，而绑定mac地址来防范arp攻击在很多单位也不是切实可行的，其实只要我们安装了江民防火墙就不用担心啦，在设置里的防火墙标签里我们可以看到江民提供了攻击防护功能，只要开启它就可以高枕无忧了！另外防火墙也提供了设置网页黑白名单的功能，对于不需要连接的网站只要将网址输入防火墙的黑名单里即可。
　　
　　10.杀毒软件作为必不可少的软件也常常会与一些行业软件相冲突，影响电脑的正常使用，如果你使用kv2008那就完全可以放心了。kv2008为此特别提供了黑白名单功能，将冲突软件加入白名单就大功告成了哦。
　　
　　11.有的用户需要在电脑上储存一些被报病毒的文件，还有很个别的时候杀毒软件出现误报，如果出现这种情况我们只需将文件放进kv2008设置菜单里的不监视文件夹和不扫描文件夹里就可以了，如果是误报的文件只需要将它发送到virus@jiangmin.com并说明情况，江民工程师会很快给予解决的！
　　
　　12.对于多人共用的计算机，管理员可以在kv2008设置菜单里的保护密码标签下设置运行kv2008相应功能所需要的执行密码，防止未经允许更改kv2008的设置，是不是很人性化呢？
　　
　　13.Kv2008除了自我保护这个亮点以外的另一个亮点就是江民电脑保护系统，这个功能需要用户独立安装，在系统遇到极端情况时可以闪电还原系统，迅速进入正常状态，这样又为电脑加上了一道安全保障。
　　
　　江民杀毒软件kv2008作为一款功能全面、强悍易用的系统级安全软件，还有很多功能需要我们自己动手去发掘体会，这里只是小列数条，相信无论是电脑高手还是刚接触电脑的用户，在使用kv2008后都能成为防毒杀毒的奥运冠军！

---

作者: caobin    时间: 2008-10-13 13:45     标题: 北京网络行业协会、江民科技联合发布10月14日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanSpy.Pophot.bgk“焦点间谍”变种bgk和TrojanSpy.WOW.by“魔兽杀手”变种by值得关注。

英文名称：TrojanSpy.Pophot.bgk
中文名称：“焦点间谍”变种bgk
病毒长度：36352字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.bgk“焦点间谍”变种bgk是“焦点间谍”间谍类木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“焦点间谍”变种bgk运行时，会在被感染计算机的后台遍历当前系统的所有进程，一旦发现指定的安全软件的进程便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，达到自我保护的目的。可能会在被感染计算机上定时弹出恶意广告网页，给用户带来一定的干扰；可能还会从骇客指定的站点下载恶意程序并在被感染计算机上自动安装运行，给用户带来不同程度的损失。“焦点间谍”变种bgk会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件（“焦点间谍”变种bgk），实现双击盘符激活“焦点间谍”变种bgk，从而利用U盘、移动硬盘、SD卡等移动存储设备达到自我传播的目的，给用户带来潜在的威胁。“焦点间谍”变种bgk在被感染计算机系统中安装完毕后，会将病毒自身的安装程序删除，达到消除痕迹的目的。

英文名称：TrojanSpy.WOW.by
中文名称：“魔兽杀手”变种by
病毒长度：42052字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.WOW.by“魔兽杀手”变种by是“魔兽杀手”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，隐藏自我，防止被用户发现、被安全软件查杀。“魔兽杀手”变种by是一个专门盗取网络游戏“魔兽世界Online”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。“魔兽杀手”变种by会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。另外，“魔兽杀手”变种by具有自动更新功能。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统的安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常工作，更好地保护用户计算机的安全。  
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-14 14:28     标题: 系统的修复与kv2008

我们启动“KV安全助手”，可以通过两个地方运行;一个是桌面的KV快捷方式，右击选择“安全助手”;另一个是进入 D:\Program Files\JiangMin\SafeTools运行“KVIETools”。
先来看检测列表，
通过检测列表能发现广告程序流氓软件，点击清理即可。不过，我们在系统诊断里清理过浏览器加载项，在这里没有发现什么了，就不贴图了

需要注意以下几项：
1.系统清理
这里可以清理系统的临时文件夹。我们在这里看到的都是最先存放病毒程序和临时文件。
2.系统修复
点击后我们可以看到红颜色提示那些被修改的选项，点击修复即可。


现在开始修复KV2008和解除任务管理器的禁用
    我们点击  开始  运行，输入“gpedit.msc”用户配置  系统  clt+alt+del 选项  右边  双击“删除“任务管理器”选择启动，点击确定，然后再双击，选择未配置。这样，即可解除任务管理器的禁用；



然后，可以进入D:\Program Files\JiangMin\Install文件夹删除“Compose”文件夹，进入D:\Program Files\JiangMin\KVOL运行“KVol”开始KV升级和自我修复。


升级后，我们启动“KV主界面”，这时已经可以打开了。



    在KV主界面，我们点击主界面的“系统安全”“未知病毒检测”“扫描样本库”，因为我们在前面备份样本了，那时KV还没有修复完成，所以不能启动样本库扫描，现在升级修复后可以运行了，我们可以将样本加入样本库，扫描后我们看到这些病毒样本差不多都是残留尸体了，点击“杀样本”即可。



到这里，大家能看到，电脑系统和被破坏的KV已全部修复完。

我们看到KV的自我保护已经恢复正常，电脑系统也已正常。


    从以上过程可以看出，利用KV2008进行这样的清除、修复，相对来说简便实用，更能给电脑用户带来方便。而且，我觉得这些对于存有重要资料的电脑，或者安装好软件不能重装系统的用户，他们必定是乐于接受的！

---

作者: caobin    时间: 2008-10-14 14:31     标题: 北京网络行业协会、江民科技联合发布10月15日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/VBS.Agent.bg“代理木马”变种bg和Trojan/BHO.cms“BHO劫持者”变种cms值得关注。

英文名称：Trojan/VBS.Agent.bg
中文名称：“代理木马”变种bg
病毒长度：5037字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/VBS.Agent.bg“代理木马”变种bg是“代理木马”家族中的最新成员之一，采用VBS脚本语言编写，并且经过加密保护处理。“代理木马”变种bg运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“prncfg.vbs”，文件属性设置为：系统、隐藏、只读、存档。“代理木马”变种bg在启动时，先弹出桌面文件夹后再关闭掉，结束进程查看器“Sysinternals Process Explorer”软件的某些版本，达到自我保护的目的。“代理木马”变种bg会在被感染计算机的后台秘密窃取用户当前所使用的系统配置信息，然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来一定程度的损失。“代理木马”变种bg还会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件“evA.vbs”（“代理木马”变种bg），文件属性设置为系统、隐藏、只读、存档，实现双击盘符启动“代理木马”变种bg运行，从而利用U盘、移动硬盘、SD卡等移动存储设备达到自我传播的目的，给计算机用户带来潜在的威胁。

英文名称：Trojan/BHO.cms
中文名称：“BHO劫持者”变种cms
病毒长度：141312字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/BHO.cms“BHO劫持者”变种cms是“BHO劫持者”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“BHO劫持者”变种cms运行时，会在被感染计算机上定时弹出恶意广告网页，给用户带来一定程度的干扰。从骇客指定站点下载恶意程序并在被感染计算机上自动安装运行，给用户带来不同程度的损失。“BHO劫持者”变种cms在被感染计算机系统中将自身注册为BHO（Browser Helper Object，浏览器辅助对象，简称BHO），实现木马随IE浏览器的启动而加载运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-16 20:26     标题: 未知病毒三大查杀利器！虚拟机、启发式、“沙盒”

近年来，新病毒出现的频率和数量越来越让人吃惊，江民科技2008年度上半年的计算机病毒疫情报告显示，仅2008年上半年，江民反病毒中心就截获新病毒206439种，这一数字是2007年同期的3倍左右！反病毒厂商在加强对病毒样本的快速搜集和处理机制的同时，对于未知病毒的判断和查杀的功能显得越来越重要。

    在对未知病毒的查杀上，国际计算机反病毒领域主要有虚拟机、启发式、“沙盒”三大主流技术。目前，这三项技术在国内已经在江民科技最新推出的KV2009版本上得到成功应用。

    虚拟机技术近年来提的较多。虚拟机的原理是在系统上虚拟一个操作环境，然后在这个虚拟环境下运行病毒，在病毒现出原形后将其清除。虚拟机目前主要应用在脱壳方面，许多未知病毒其实是换汤不换药，只是把原病毒加了一个壳，如果能成功地把病毒的这层壳脱掉，就很容易将病毒清除了。对于虚拟机的应用，许多反病毒专家各执一词，有人强调虚拟机杀毒技术，认为这项技术可以很好地清除未知病毒。而有的专家则对此持保留态度，原因是虚拟机需要占用太多的系统资源，虚拟机功能的强大是建立在消耗大量的系统资源基础上的，过分强调和应用虚拟机杀毒技术，可能会导致整个操作系统都不能进行其它工作。

    江民杀毒软件KV2009对虚拟机的应用恰到好处。KV2009应用虚拟机对病毒进行脱壳处理，目前除了通常的壳以外，还增强了对花指令和生僻壳的脱壳能力。在对未知病毒的处理上，KV2009并不单纯依赖虚拟机，这就大大降低了占用系统资源，确保强大的杀毒功能外，电脑仍然能够顺利流畅地进行其它工作。

    启发式近年来在国外杀毒软件中提的较多。启发式分为静态启发和动态启发，静态启发有点相当于广谱特征码技术，在杀毒软件中内置一个特别的启发特征库，然后将病毒的原码与这个库进行比较，如果符合这个库里的病毒特征，就将其报为相应的病毒。江民杀毒软件KV2009不但具有静态启发，而且还有动态启发，动态启发与虚拟机结合的十分紧密，目前主要应用在对花指令病毒的扫描和查杀。

   “沙盒”技术是国际反病毒业界近年来最新提出的反病毒新概念，多数杀毒厂商尚处于实验室研究阶段，江民杀毒软件KV2009成为国内首家将该项新技术应用到产品中的专业杀毒厂商。

    虽然同为防范未知病毒的杀毒技术，“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行；“沙盒”技术是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演，但是沙盒会记下他的每一个动作。在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态。

    随着病毒变种如潮水般涌现，杀毒软件的未知病毒查杀技术将会显得越来越重要。目前流行的“云安全”概念侧重于对已知病毒的响应速度，在应对未知病毒上仍然有着天生的缺陷，因为必然是先有病毒发作然后才能被“云安全”防毒系统捕获，而虚拟机、启发式、“沙盒”等技术则弥补了这一缺陷，只有融入了虚拟机、启发式、“沙盒”等技术的“云安全”防毒系统才是真正安全的防毒系统。江民杀毒软件KV2009致力于“云安全”防毒系统与三大未知病毒防杀技术的有机融合，为用户提供从“已知病毒的迅速响应到未知病毒的立体防杀”这一无间隙的安全防范体系。

---

作者: caobin    时间: 2008-10-16 20:26     标题: 北京网络行业协会、江民科技联合发布10月17日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/StartPage.aza“初始页”变种aza和Trojan/PSW.QQPass.udx“QQ大盗”变种udx值得关注。

英文名称：Trojan/StartPage.aza
中文名称：“初始页”变种aza
病毒长度：35840字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.aza“初始页”变种aza是“初始页”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“初始页”变种aza运行后，会在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放恶意DLL功能组件“*.dll”和恶意驱动文件“*.sys”，文件名随机生成。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台定时访问指定的恶意广告站点，提高某网站的访问量（网络排名），给骇客带来经济利益、严重影响和干扰用户的正常操作。“植木马器”变种ps还会占用大量系统资源，极大地影响了系统的运行速度。在被感染计算机的后台秘密窃取用户当前所使用系统的配置信息，然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。“初始页”变种aza释放出来的恶意驱动程序每次启动后都会强行篡改系统IE浏览器的默认首页为指定站点，以便增加某网站的访问量。

英文名称：Trojan/PSW.QQPass.udx
中文名称：“QQ大盗”变种udx
病毒长度：46205字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.udx“QQ大盗”变种udx是“QQ大盗”木马家族中的最新成员之一，采用“Delphi”语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“QQ大盗”变种udx是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取用户的QQ用户名和密码等机密信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点上，给用户带来一定程度的损失。“QQ大盗”变种udx会在被感染计算机系统注册表中添加键值来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-17 11:18     标题: kv2009能用5年？

这是在江民官方网站上看到的，新发布的2009版本能用5年，这是真的？
10月14日，国内最大的计算机反病毒软件厂商江民科技隆重发布新品KV2009。发布会现场，江民科技总裁陶新宇宣布，KV2009盒装产品在原来两年服务期的基础上再延长三年，推出5年服务期版本，成为目前全球反病毒软件市场中服务期限最长的杀毒软件。

    据了解，目前国内主流杀毒软件公开宣称的服务期最长为两年，江民科技将服务期延长至五年，无疑在本来竞争激烈的杀毒市场投下了一枚炸弹。陶新宇介绍，江民此举是实实在在给用户让利。长期以来江民科技努力在反病毒技术上不断推陈出新，推出一项又一项计算机反病毒新技术，有力地阻击和遏制了计算机病毒的蔓延。然而，由于国内外多达数十款杀毒软件或安全工具软件在争抢杀毒市场，在技术上难免泥沙俱下，鱼目混珠。近年来出现的新病毒中多数是驱动级病毒，一些不具备内核级技术的杀毒软件纷纷被病毒关闭和破坏，导致许多电脑用户对杀毒软件意见很大，影响了杀毒软件的声誉，加上一些不掌握杀毒核心技术的厂商为了推广自己的产品不惜诋毁整个杀毒产业，抛出“杀毒软件将死”“杀毒软件无用”等种种论调，让许多电脑用户在选择杀毒软件时无所适从。

    再先进的技术也需要最广泛的普及应用才有意义，为了让更多的电脑用户使用上江民科技领先的计算机反病毒技术和产品，江民决定最大力度让利占领市场，让用户用上先进的反病毒产品，为杀毒软件正名，为整个杀毒行业正名。

    江民科技董事长王江民表示，江民科技有着雄厚的经济基础，拥有国内最大的自主产权计算机反病毒基地，完全有能力打赢这场杀毒市场的持久战。江民科技指出，一些企业提出的“永久免费”的永久是虚无的，而江民提出的五年免费升级服务期是实实在在可以看到的。

    此次江民发布的新品KV2009被称为全功能杀毒软件，有着十余项创新技术以及多达三十余项的安全功能，防范涵盖计算机病毒防范、互联网安全、系统安全、数据安全等四大方面。对于有人提出为什么不称为“全功能安全软件”说法时，王江民认为，安全软件在我国事实是国外英文名称翻译过来的词汇，江民科技不会放弃“杀毒软件”这一我国特定的产品名称，并非叫杀毒软件就只有杀毒这一项功能，江民KV2009全功能杀毒软件的三十余项功能比国外的安全软件只多不少。

    业内人士认为，江民科技作为有着20年计算机反病毒历史的国内老牌反病毒企业，此次推出杀毒软件5年服务期限的新举措，为杀毒行业树立了一个服务新标杆。电脑用户需要真正能防杀病毒的新技术和新产品，同样在服务上也希望能够得到更多的实惠，以技术著称的江民科技此次率先大幅延长服务期限，必将带动整个杀毒软件市场从无序竞争向技术和服务两大主题转型，无疑电脑用户将最终成为最大受益者。

---

作者: caobin    时间: 2008-10-17 11:18     标题: 北京网络行业协会、江民科技联合发布10月18日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/Vundo.efo“雾毒”变种efo和Trojan/Qhost.aoi“Hosts劫持者”变种aoi值得关注。

英文名称：Trojan/Vundo.efo
中文名称：“雾毒”变种efo
病毒长度：81408字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vundo.efo“雾毒”变种efo是“雾毒”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“雾毒”变种efo是一个专门盗取网络游戏“封印簡訊Online”玩家会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的这些机密信息资料发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失，给游戏玩家带来不同程度的损失。同时，“雾毒”变种efo还具有窃取玩家游戏账号密码保护资料的功能。如果游戏玩家发现自己的游戏账号被盗，请千万不要在当前被感染的计算机上登陆该网络游戏的会员官方网站去找回游戏密码，不然可能会连同您的密码保护资料一同被骇客盗取，给您带去更大程度的损失。“雾毒”变种efo运行时，会在被感染计算机的后台秘密监视用户打开的所有网页窗口，一旦发现“GASH网络游戏”官方网站的会员登陆窗口便开始记录用户输入的信息（利用钩子和自动读取分析网页代码提交表单等方式），从而达到窃取用户“GASH网络游戏”官方网站会员账号和会员密码等机密信息资料的目的，并在后台将窃取的这些机密信息资料发送到骇客指定的远程服务器站点中或邮箱里，会给被感染计算机用户带来一定程度的损失。另外，“雾毒”变种efo会通过修改注册表来实现木马开机自启动。

英文名称：Trojan/Qhost.aoi
中文名称：“Hosts劫持者”变种aoi
病毒长度：237568字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Qhost.aoi“Hosts劫持者”变种aoi是“Hosts劫持者”木马家族中的最新成员之一，该病毒是由其它恶意程序释放出来的DLL功能组件，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“Hosts劫持者”变种aoi运行后，会在被感染计算机的后台强行篡改用户系统中的“hosts”文件，向内部添加上百个与计算机安全有关的站点地址。利用域名映像劫持功能来屏蔽被感染计算机与外部安全站点的连接，使中毒计算机无法得到快速有效的处理，给用户的正常连网操作带来一定的干扰。另外，“Hosts劫持者”变种aoi还会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    4、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机。
    5、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    6、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-18 14:24     标题: 初识kv2009

新版本上市难免让人期待一番，下面是我所认识的kv2009

1.安全防范全面。从安装的第一步开始，我们就可以体会到江民的强大和细腻，在自定义安装模式下，江民KV2009提供“核心组件及病毒库、增强工具、江民共用组件、江民主动防御、江民杀毒软件语言包”等5个功能模块、20多个组件的强大功能，可以说，安装江民KV2009后，就可以轻松防范来自互联网、局域网、移动存储设备、垃圾邮件、恶意网站、未知病毒……等等方方面面的攻击和威胁。

  2.人性化设置突出。KV2009提供的安装设置向导包括“配置开机扫描病毒、配置扫描病毒选项、配置文件监控、配置网页监控、配置主动防御、配置主动防御”等丰富的设置选项，让各种用户都可以根据自己的应用环境配置个性化的安全设置。

  3、软件体积有所减小。相对江民KV2008安装包47MB，安装后占用磁盘空间84MB，江民2009安装包大小仅为36.7MB，安装后占用磁盘空间缩小至57MB。

  4、新增功能丰富。KV2009新增大量功能，包括启发式扫描、虚拟机脱壳、沙盒技术、内核级防御、多行为智能主动防御、ARP欺骗攻击防护、互联网安检通道、系统检测安全分级、反病毒Rootkit/HOOK技术、“云安全”防毒系统等十余项新技术。

  5.杀毒实测。归根结底，病毒查杀功能才是目前用户关注的焦点，也是安全软件的基石，下面我们看看KV2009的病毒查杀实力。测试样本为2007年病毒样本，包括Bot、病毒、黑客工具、后门、间谍、木马、蠕虫、Rootkit和加壳样本，共9大类483个。

  KV2009病毒库未升级，为安装后默认病毒库（2008-8-19），测试结果显示，江民KV2009查杀348个病毒，占病毒总数的72%。对照软件为McAfee 8.5i Patch5，病毒库升级为最新（2008-10-6），检测出病毒344个，占病毒总数的71%。由于KV2009在虚拟机上测试，而McAfee 8.5i Patch5在宿主机上测试，因此，杀毒时间不具可比性。测试中出现一个比较奇怪的现象，病毒包内共有病毒样本483个，另外还有一个readme文件，共484个文件，但是江民却扫描的594个文件，而McAfee 8.5i只扫描了482个文件。测试结果截图参加http://picasaweb.google.com/pacificocean/Public#

  综合来说，江民KV2009在功能和病毒防范上的进步还是十分明显的，其新增的功能绝不是徒有其表，特别是病毒查杀性能强劲，未升级病毒库的KV2009已经超越McAfee 8.5i，这进一步增强了我们对KV2009正式版的期待和信心。

---

作者: caobin    时间: 2008-10-18 14:24     标题: 江民KV2009试用手记

作为一名从KV3000时就开始使用江民杀毒软件的老用户，我对江民的每一次新品发布都很关注。此次KV2009公测，我当然不能错过。第一时间从网上下载了较新的公测版本（9月11日版本，大小为44.6M）。考虑到真机环境测试病毒具有一定的危险性，因此此次测试我使用了VMWare虚拟机，虚拟了XP和VISTA两套系统供测试使用。

测试环境：

主板:ASUSP5G-MX (BIOSversion:0401) CPU: IntelCore2Duo E4500内存: KingstonDDR2 6671G + Kingstion DDR2667 2G 硬盘 : Seagate7200.9Barracuda160G显卡:Integrated IntelGMA950

虚拟机配置如下:

WindowsXP: 512MBMemory 8GBHDDSize WindowsVista:1024MBMemory 16GBHDDSize

一、界面色彩清新，简洁易用

与以往界面相比，此次KV2009的界面有了很大改变，原来的菜单式界面改为选项卡式界面，老用户可能会因为使用习惯一时不太适应，但是更方便新用户上手操作。由于本人喜欢使用英文操作系统，因此KV2009安装后默认是英文界面，感觉很好。如图一：


（图一）

(需要说明的是，与其它杀毒软件不同，在语言选择上，江民KV2009是默认与操作系统使用同样的语言，分为简体中文、繁体中文、英文、日文四种版本。)

二、再见经典BootScan

江民KV2009中，经典的BootScan依然被保留，与国内其它启动杀毒或抢先杀毒不同，江民BootScan在程序启动顺序上是最领先的。XP下的使用效果自然不用说了，Vista下的 Bootscan也十分好用。


三、实战病毒：

下面就是病毒测试了，我作为个人用户，不可能做海量测试，毕竟很难保证大病毒库文件的完整，网上那种几千个病毒打包的，很多病毒体已经损坏了，不能作为严格意义上的样本。而且有不少是 Zoo样本。而类似 VB100的 Wildlist库又很难维护。所以我这里的病毒测试也就是测一测 KV2009的监控和一些常见的流行病毒，以及过其他杀软的病毒。看看 KV2009的表现。

1、 首先是Eicar文件测试

Eicar标准防病毒测试文件是欧洲计算机病毒研究机构和反病毒公司共同推出的用于测试防病毒产品防毒功能是否正常的测试文件。分为网页监控测试、文件监控测试、压缩文件测试、双重压缩文件测试四项，一一打开四项测试，KV2009的表现还是如 KV系列一贯的表现，监控反应迅速灵敏，刚打开eicar测试网页,KV2009立即报出病毒。


2、测试驱动病毒“磁碟机”

在某专业反病毒论坛上，选择了一个号称为“目前为止过所有杀软扫描”的“磁碟机3代”病毒，刚点击KV2009立即报毒，并阻止了病毒文件的下载。

3、测一个号称过卡巴的木马

选择了一个号称“过卡巴”的病毒文件，刚点击KV2009立即报警，提示发现病毒名为“Backdoor/Hugezi.Gen”病毒。


4、测加壳的灰鸽子

选择一加壳“灰鸽子”病毒，刚点击KV2009立即报警，并提示发现“Backdoor/Hugezi2007”某变种，病毒文件保存失败，KV2009文件监控发挥了作用。


除了以上对一些病毒进行测试外，我还对论坛上有一些用户提出的KV2009在 Vista下全盘扫描会蓝屏(“VISTASP1下一全盘扫描没几分钟就蓝屏只好强制重启”帖地址 http://bbs.jiangmin.com/dispbbs. ... D=527536&page=2 )。由于我刚好有条件，就测试了一下 VistaHomePremium和 VistaUltimate，跑下来完全没有问题，看来稳定性还是不错的。

测试过程中，我发现 KV2009的代理不支持域功能，虽然在国产杀软里面是个普遍现象，毒霸和瑞星也都不支持，但还是希望江民能够在适当时候支持这个功能，QQ的代理是支持域的。

---

作者: caobin    时间: 2008-10-18 14:24     标题: 北京网络行业协会、江民科技联合发布10月19日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanSpy.Soulwork.d“灵魂杀手”变种d和TrojanDownloader.Agent.apgq“代理木马”变种apgq值得关注。

英文名称：TrojanSpy.Soulwork.d
中文名称：“灵魂杀手”变种d
病毒长度：24576字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Soulwork.d“灵魂杀手”变种d是“灵魂杀手”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“灵魂杀手”变种d是一个专门盗取“魔域Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“灵魂杀手”变种d会通过修改注册表的方式来实现木马开机自启动。

英文名称：TrojanDownloader.Agent.apgq
中文名称：“代理木马”变种apgq
病毒长度：36352字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.apgq“代理木马”变种apgq是“代理木马”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“代理木马”变种apgq运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“vmdetdhc.exe”（文件属性设置为：系统、隐藏、存档）。修改注册表，实现木马开机自动运行。替换被感染计算机系统中的“%SystemRoot%\system32\drivers\Beep.sys”驱动文件，替换后的恶意驱动文件大小为3872字节。利用内核级还原“SSDT HOOK”技术恢复被感染计算机系统中的SSDT表（System Service Descriptor Table，系统服务描述表），致使大部分安全软件和杀毒软件的监控与主动防御功能失效，从而试图结束这些安全软件和杀毒软件的进程，达到自我保护的目的。以挂起的方式在被感染计算机的后台调用系统“svchost.exe”进程，并向其进程内存空间中注入恶意可执行代码，然后调用运行，执行访问网络等恶意操作。利用病毒调用的系统“svchost.exe”进程再次以挂起方式在后台调用系统IE浏览器进程“IEXPLORE.EXE”，并向其进程内存空间中注入恶意可执行代码，然后调用运行。如果被感染计算机上已安装了防火墙并启用，就可以利用用户设置的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。在被感染的计算机上查找指定的窗口名，一旦发现便通过发送“允许”和“关闭”消息来尝试躲避某安全软件的拦截。在后台连接骇客指定站点，在被感染计算机上安装恶意程序、下载安装著名下载软件“迷你**”商业版、在后台定时访问指定的恶意广告站点，提高这些恶意网站的访问量（网络排名），不仅给骇客带来经济利益，而且还会严重影响和干扰用户对计算机的正常操作。另外，“代理木马”变种apgq还会自升级。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    5、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-18 14:25     标题: 北京网络行业协会、江民科技联合发布10月20日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanSpy.MultiFirst.b“魔笛手”变种b和TrojanSpy.Delf.cww“TrojanSpy.Delf”变种cww值得关注。

英文名称：TrojanSpy.MultiFirst.b
中文名称：“魔笛手”变种b
病毒长度：3564字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.MultiFirst.b“魔笛手”变种b是“魔笛手”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“魔笛手”变种b隐藏在被感染计算机系统的%SystemRoot%\system32\目录下，文件名为“System.exe”。在后台创建一个名为“HBInjectMutex”的互斥体，防止病毒自身运行多个实例。安装运行恶意驱动程序“HBKernel32.sys”，达到自我保护的目的。“魔笛手”变种b会在被感染计算机系统的后台调用运行其它病毒主程序释放出来的几十种恶意DLL组件，这些恶意DLL组件均为网络游戏盗号木马。这些恶意DLL组件运行后，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取玩家多款网络游戏的账号、密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“魔笛手”变种b会通过修改注册表的方式来实现木马开机自启动。

英文名称：TrojanSpy.Delf.cww
中文名称：“TrojanSpy.Delf”变种cww
病毒长度：18432字节
病毒类型：间谍类木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Delf.cww“TrojanSpy.Delf”变种cww是“TrojanSpy.Delf”木马家族中的最新成员之一，采用“delphi”语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“TrojanSpy.Delf”变种cww是一个专门盗取“腾讯QQ”即时聊天工具用户名和密码的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取QQ的用户名和密码等机密信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点中或邮箱里（地址加密存放），给用户带来一定程度的损失。在后台向其QQ好友列表中所有在线好友发送带毒文件“最新艳照.rar”，达到自我传播的目的。另外，“TrojanSpy.Delf”变种cww会通过修改注册表来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    5、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，以避免病毒利用微软漏洞攻击计算机。
    6、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-20 14:40     标题: 抹杀病毒！国内杀毒软件首次应用“沙盒”技术杀毒

想象一下，在一个装满了平整细沙的盒子里，我们可以尽情随意地在上面作画、涂写，无论画的好坏，最后轻轻一抹，沙盒又回到了原来的平整状态。沙盒的魅力就在于他允许你出错，还可以给你改正的机会。如今，这种神奇的“沙盒”被应用到了计算机反病毒领域。10月14日，第29届奥运会网络安全指挥部技术保障单位江民科技宣布，国内首家研发成功“沙盒”杀毒技术，并在正式发布的江民杀毒软件KV2009中得到成功应用。这种技术可以随时将病毒在电脑“沙盒”中抹去，恢复电脑到正常状态。

     由于计算机新病毒呈爆炸式增长趋势，专业杀毒软件厂商开始侧重于研发未知病毒防范技术。目前应用较多的未知病毒防御技术有基于病毒行为的智能主动防御技术，以及虚拟机技术，启发式扫描技术。“沙盒”技术是国际反病毒业界近年来最新提出的反病毒新概念，多数杀毒厂商尚处于实验室研究阶段，江民科技成为国内首家将该项新技术应用到产品中的专业杀毒厂商。

    据江民反病毒专家介绍，虽然同为防范未知病毒的杀毒技术，“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行；“沙盒”技术是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演，但是沙盒会记下他的每一个动作，在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态。

    应用了“沙盒”技术的江民杀毒软件KV2009是江民科技年度重磅产品。除了沙盒技术之外，该款新品亮点迭出，国内首家研发成功启发式扫描、内核级自防御引擎，填补了国产杀毒软件在启发式病毒扫描以及内核级自我保护方面的技术空白。并新增和增强了多行为智能主动防御、网页防木马墙、ARP攻击防护、互联网安检通道、系统安全检测、反病毒Rootkit/HOOK技术、“云安全”防毒系统等三十余项功能和新技术。

    江民科技总裁陶新宇表示，江民反病毒研发中心将投入更多的资源，研发更多更新的技术，全力打造“江民杀毒软件——专业杀毒软件”品质和理念。陶新宇认为，唯有专业、专注才能给用户带来真正的安全。江民科技拥有20年的计算机反病毒经验和积累，在此基础上研发成功的多种反病毒新技术，必将给用户的电脑应用带来全面而独到的安全防范。

---

作者: caobin    时间: 2008-10-20 14:41     标题: 北京网络行业协会、江民科技联合发布10月21日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQPass.sri“QQ大盗”变种sri和Exploit.MS07004.b“MS07-004漏洞利用者”变种b值得关注。

英文名称：Trojan/PSW.QQPass.sri
中文名称：“QQ大 盗”变种sri
病毒长度：47709字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.sri“QQ大盗”变种sri是一个传播QQ钓鱼网站的木马程序，通过弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗，从而利用让用户交纳手续费的方式来骗取钱财。该病毒图标伪装成一只小企鹅（类似于腾讯QQ软件的图标，只是清晰度很差），采用VB语言编写，并且经过加壳保护处理。“QQ大 盗”变种sri运行后，在当前路径下释放一个功能组件文件“x1.exe”并自动调用运行。在被感染计算机系统中定时弹出伪装的QQ中奖消息窗口来诱惑用户上当受骗。这些广告来源地址为“http://q*x*2.cn/m/test.htm”、“http://*qxm*.cn/m/gx.htm”，骇客可以远程随意更新这些网址上的信息内容。一旦用户点击了这些窗口中的恶意网站链接，该木马程序便会调用IE浏览器打开伪装的腾讯QQ网站，并显示虚假的中奖信息，诱惑用户点击并进入领奖窗口。用户按照中奖消息上提供的验证码“2818”去钓鱼网站“http://*qxm*.cn/ndex.htm”上领取奖品，需要填写个人信息资料等信息。当用户输入的验证码不是“2818”时，钓鱼网站会提示“激活码验证不正确！（无法确认您的幸运身份）请正确输入！”，这样可以降低用户的可疑心理。领奖信息全部填写完毕后，钓鱼网站会提示您给骇客的银行帐户汇钱（如果中的是二等奖，需要打1200元），就算用户把钱汇过去也不会得到任何奖品，因为这些骇客就是为了骗钱才建立的这种钓鱼网站。这种不法行为在给用户财产带来损失的同时，也会给用户的心理上带来一定的伤害，可谓罪孽重重 。另外，“QQ大盗”变种sri无启动项，是借助其它病毒的调用而启动运行的。

英文名称：Exploit.MS07004.b
中文名称：“MS07-004漏洞利用者”变种b
病毒长度：1159字节
病毒类型：脚本病毒
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.MS07004.b“MS07-004漏洞利用者”变种b是“MS07-004漏洞利用者”脚本病毒家族中的最新成员之一，采用JavaScript脚本语言编写，并且经过多层加密保护处理。“MS07-004漏洞利用者”变种b是一个利用微软MS07-004漏洞传播其它病毒的网页脚本病毒。“MS07-004漏洞利用者”变种b一般内嵌在正常网页中，如果用户计算机没有及时升级修补微软MS07-004漏洞相应的补丁，那么当用户使用浏览器访问带有“MS07-004漏洞利用者”变种b的恶意网页时，就会在当前用户计算机的后台连接骇客指定远程服务器站点“http://www.p*ay*ni*.net/”，下载恶意程序“down.exe”并自动调用运行。其中，所下载的恶意程序可能是网游木马、流氓广告、病毒后门等，会给被感染计算机用户带来一定程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    4、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。
    5、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-22 15:41     标题: 北京网络行业协会、江民科技联合发布10月23日病毒播报

江民今日提醒您注意：在今天的病毒中Packed.Krap.al“卡拉蜜”变种al和TrojanDownloader.Agent.anhf“代理木马”变种anhf值得关注。

英文名称：Packed.Krap.al
中文名称：“卡拉蜜”变种al
病毒长度：143872字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Krap.al“卡拉蜜”变种al是“卡拉蜜”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“卡拉蜜”变种al运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警报”、“网页”）的窗口，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，达到自我保护的目的。“卡拉蜜”变种al是一个盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。同时，该木马还会窃取用户“雅虎通（Yahoo! Messenger）”和“Yahoo奇魔”的账号信息，并在后台发送到骇客指定的远程服务器上。“卡拉蜜”变种al具有自动更新功能，连接指定站点进行自动升级。另外，“卡拉蜜”变种al会通过修改系统注册表的方式来实现木马开机自启动。

英文名称：TrojanDownloader.Agent.anhf
中文名称：“代理木马”变种anhf
病毒长度：45056字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.anhf“代理木马”变种anhf是“代理木马”木马下载器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。“代理木马”变种anhf运行时，强行篡改注册表，将IE浏览器首页设置为骇客指定站点，致使用户一打开浏览器窗口便连接骇客指定站点，增加某网站的访问量。在被感染计算机的后台秘密窃取用户当前所使用的系统的配置信息，发送到统计站点上。然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。另外，“代理木马”变种anhf会通过修改系统注册表的方式来实现木马下载器开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    6、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-22 15:41     标题: 2008全国网络安全状况暨计算机病毒疫情报告发布

10月20日,公安部公共信息网络安全监察局、国家计算机病毒应急与处理中心召开2008年全国信息网络安全状况暨计算机病毒疫情调查报告发布会，大会还对第29届奥运信息网络安全应急工作优秀单位和个人进行了表彰，江民科技等8家单位获得了优秀单位称号，严绍文等6人获得了先进个人表彰。

    今年5月，公安部公共信息网络安全监察局举办了2008年度全国信息网络安全状况暨计算病毒疫情调查活动。12000余家信息网络使用单位和计算机用户参加了调查活动，调查显示，我国信息网络安全事件发生比例继前3年连续增长后，今年略有下降，信息网络安全事件发生比例为62.7%，说明我国互联网安全状况稍有好转。但多次发生网络安全事件的比例为50%，多次感染病毒的比例为66.8%，说明我国互联网用户的网络安全意识仍比较薄弱。在发生安全事件的类型中，感染计算机病毒、蠕虫和木马程度依然十分突出，占70%，其次是网络攻击和端口扫描（27%）、网页篡改（23%）和垃圾邮件（22%）。攻击或病毒传播源来自内部人员的比例同比增加了21%；涉及外部人员的同比减少了18%，说明联网单位对外部网络攻击防范的意识有所增强，但单位内部的网络安全管理工作还不到位。网络（系统）管理员通过技术监测主动发现网络安全事件的占66.28%，同比增加了13%，说明网络（系统）管理员安全技术水平有所提高；而通过安全产品发现的比例同比减少了8%，原因是目前计算机病毒、木马等绕过安全产品的发现、查杀甚至破坏安全产品的能力增强了。未修补网络安全漏洞仍然是导致安全事件的最主要原因（54.63%）,同比上升了5%。21%的被调查单位建立了安全组织,同比上升了7%,说明各单位对网络安全越来越重视。

   2007年5月至2008年9月奥运结束，全国没有发生大范围计算机病毒疫情。网络用户密码被盗同比增加了4.5%；病毒通过移动存储介质传播的比例下降了14%，说明用户防范移动存储介质传播病毒的意识有所增强；但通过网络浏览下载感染病毒的比例却大幅增加了44%，主要原因因为互联网站被大量“挂马”，这已成为病毒木马传播的主要方式。公安机关提醒网络用户，应加强网络安全防范技术措施，及时打补丁消除安全漏洞，警惕网站“挂马”。

    针对网络“挂马”猖獗、计算机病毒肆虐等情况，为确保奥运期间互联网信息安全，公安机关网监部门奥运期间在全国开展了集中打击利用计算机病毒、木马进行网上盗窃、网上诈骗专项行动，破获了制作、贩卖“大小姐”木马等系列重大案件，有力打击了贩卖计算机病毒木马违法犯罪活动的猖獗势头，实现了奥运期间互联网络平稳运行的目标。

    公安部公共信息网络安全监察局副局长邓宏敏、天津市公安局副局长李玉环、公安部公共信息网络安全监察局副处长任军、国家计算机病毒应急与处理中心王吉树主任等领导参加了发布会并发言。邓宏敏副局长等领导为第29届北京奥运会信息网络安全应急工作优秀单位和个人颁发了奖牌。

---

作者: caobin    时间: 2008-10-23 14:43     标题: 北京网络行业协会、江民科技联合发布10月24日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/VB.Small.aho“小不点”变种aho和Worm/AutoRun.cnk“U盘寄生虫”变种cnk值得关注。

英文名称：Trojan/VB.Small.aho
中文名称：“小不点”变种aho
病毒长度：35087字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/VB.Small.aho“小不点”变种aho是“小不点”木马家族中的最新成员之一，采用VB语言编写，并且经过加壳保护处理。“小不点”变种aho运行后，在被感染计算机系统的“c:\temp\”目录下释放病毒组件文件“killvv.sys”和“*.exe”（文件名随机生成）。在被感染计算机系统的“%SystemRoot%\”和“%SystemRoot%\system32\”目录下分别释放恶意组件“yuiabct.exe”和“yuiabct.dll”。修改注册表，实现木马开机自动运行。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现某些安全软件进程存在便会尝试结束其进程。利用进程映像劫持功能来阻止某些安全软件的启动，达到自我保护的目的。“小不点”变种aho释放出来的恶意DLL组件“yuiabct.dll”是一个专门盗取网络游戏“奇迹世界Online”和“魔兽世界Online”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来一定程度的损失。

英文名称：Worm/AutoRun.cnk
中文名称：“U盘寄生虫”变种cnk
病毒长度：15872字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.cnk“U盘寄生虫”变种cnk是“U盘寄生虫”蠕虫家族的最新成员之一，采用“Microsoft Visual C++”编写，并且经过加壳保护处理。“U盘寄生虫”变种cnk运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的窗口（如“专杀”、“防火墙”、“杀毒”等），便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。遍历当前系统中的所有进程，一旦发现某些安全软件进程存在，便会尝试结束其进程，达到自我保护的目的。强行删除注册表相关项，达到破坏被感染计算机系统安全模式的目的。“U盘寄生虫”变种cnk会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”和病毒主程序文件“TG.PIF”（“U盘寄生虫”变种cnk），实现双击盘符启动“U盘寄生虫”变种cnk运行，从而利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播，给计算机用户带来潜在的威胁。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://m.*c*5.com/dd/”，下载恶意程序“x.gif”、“1.exe”、“2.exe”、“3.exe”、“4.exe”、“5.exe”、“6.exe”、“7.exe”、“8.exe”、“9.exe”、“10.exe”、“15.exe”并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来不同程度的损失。另外，“U盘寄生虫”变种cnk会通过在被感染计算机系统“启动”文件夹中创建病毒主程序文件的方式来实现蠕虫开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-23 14:43     标题: 江民KV2009反ROOTKIT

也许很多人对ROOTKIT不是很熟悉，但是我作为公司的网络管理者，对这种技术是太熟悉了。现在越来越多的病毒利用ROOTKIT技术来隐藏自身，然后利用Hook技术破坏系统文件，防止被安全软件所查杀。
   
   有的人可能不知道什么是ROOTKIT，什么是Hook，其实说白了就是病毒为了逃过杀毒软件的查杀而用的小伎俩，目前虽然很多杀软都在努力的提高技术来查杀，但是效果不是很明显，因为病毒在不断的变种，软件都是后来升级。前些天听说kv2009上市了，听朋友说kv2009应用了反病毒Rootkit、反病毒Hook技术，我一直对这些东西都是很感兴趣的，就买了一套09来试下。

   我发现kv2009的反病毒Rootkit技术能够检测出深藏的病毒文件、进程、注册表键值，并能够阻止病毒利用Hook技术破坏系统文件，接管病毒钩子，这样它就把病毒防御在系统之外，连注册表都进不了，还不错总算没白花钱。江民在国产杀软中是最早开始做杀毒的，但是也是最低调的，它一直在默默的研究着新技术，提高杀毒能力，防御病毒的能力，我觉得这就是一个杀软公司应该有的态度，但是如果有了新技术的研发就不应该再低调，让用户更深的了解软件，才能让你走的更远。

    现在很多使用杀软的人都不是很懂电脑或者安全，因为懂的人一般都不使用杀毒软件，所以使用杀软的都是些对电脑不太懂的。这样，新技术的使用能让我们用户更简单明了的使用杀软，保护电脑的安全。

---

作者: 至纯黑准    时间: 2008-10-24 22:00

---

作者: 乖乖媳妇    时间: 2008-10-25 17:47

---

作者: caobin    时间: 2008-10-27 19:28     标题: 北京网络行业协会、江民科技联合发布10月28日病毒播报

江民今日提醒您注意：在今天的病毒中Packed.Krap.z“卡拉蜜”变种z和Rootkit.Vanti.fzh“顽梯”变种fzh值得关注。

英文名称：Packed.Krap.z
中文名称：“卡拉蜜”变种z
病毒长度：145814字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Krap.z“卡拉蜜”变种z是“卡拉蜜”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“卡拉蜜”变种z运行后，自我复制到被感染计算机系统的“%SystemRoot%\Help\”目录下，并重新命名为“EB6C4499B05F.exe”，文件属性设置为：系统、隐藏、存档。在被感染计算机系统的“%SystemRoot%\Help\”目录下释放一个恶意DLL功能组件“EB6C4499B05F.dll”，将其插入到被感染计算机系统“explorer.exe”等用户级权限的进程中加载运行，并在后台执行相应的恶意操作，隐藏自我，防止被查杀。“卡拉蜜”变种z会在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警报”、“网页”）便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。强行篡改系统日期，利用某些安全软件存在的“时间判断”缺陷使其保护功能失效，进而达到自我保护的目的。“卡拉蜜”变种z可盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏的会员账号，会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来一定程度的损失。同时，该木马还会窃取用户“雅虎通（Yahoo! Messenger）”和“Yahoo奇魔”的账号信息，并在后台发送到骇客指定的远程服务器站点上。“卡拉蜜”变种z具有自动更新功能，连接指定站点进行自动升级。另外，“卡拉蜜”变种z会通过修改系统注册表的方式来实现木马开机自启动。

英文名称：Rootkit.Vanti.fzh
中文名称：“顽梯”变种fzh
病毒长度：9056字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Vanti.fzh“顽梯”变种fzh是“顽梯”木马家族中的最新成员之一，采用内核级Rootkit技术来实现隐藏自我，未经过加密保护处理。“顽梯”变种fzh在用户计算机系统中安装注册运行后，利用高级的Rootkit技术（内核级的钩子“SSDT HOOK”与“FSD HOOK”）隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息，防止被安全软件和用户查杀，达到更好的隐蔽效果。其中，该恶意驱动程序属于某病毒整体中的一个功能模块，伴随该恶意驱动程序的出现，还会有其它恶意功能模块也一同被安装到系统中。用户计算机系统一旦感染该病毒，则很难清除干净。另外，“顽梯”变种fzh会通过在被感染计算机中注册系统服务的方式来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    6、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-10-31 14:24     标题: 北京网络行业协会、江民科技联合发布11月01日病毒播报

江民今日提醒您注意：在今天的病毒中Packed.Krap.aa“卡拉蜜”变种aa和TrojanDownloader.BHO.bs“BHO劫持者”变种bs值得关注。

英文名称：Packed.Krap.aa
中文名称：“卡拉蜜”变种aa
病毒长度：142577字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Krap.aa“卡拉蜜”变种aa是“卡拉蜜”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“卡拉蜜”变种aa运行后，自我复制到被感染计算机系统的“%SystemRoot%\Help\”目录下，并重新命名为“B41346EFA848.exe”，文件属性设置为系统、隐藏、存档。修改注册表，实现木马开机自动运行。在被感染计算机系统的“%SystemRoot%\Help\”目录下释放一个恶意DLL功能组件“B41346EFA848.dll”，并将其插入到被感染计算机系统“explorer.exe”等用户级权限的进程中加载运行，在后台执行恶意操作，隐藏自我，防止被查杀。在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警报”）的窗口，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。强行篡改系统日期，利用某些安全软件存在的“时间判断”缺陷使其保护功能失效，进而达到自我保护的目的。在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程站点上（地址加密存放），给游戏玩家带来一定程度的损失。同时，该木马还会窃取用户“雅虎通（Yahoo! Messenger）”和“Yahoo奇魔”的账号资料，并在后台将其发送到骇客指定远程服务器站点上。另外，“卡拉蜜”变种aa还能够自升级。

英文名称：TrojanDownloader.BHO.bs
中文名称：“BHO劫持者”变种bs
病毒长度：196096字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.BHO.bs“BHO劫持者”变种bs是“BHO劫持者”木马下载器家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该木马是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“BHO劫持者”变种bs运行时，秘密连接骇客指定的服务器站点，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。在被感染计算机系统中将自身注册为BHO（浏览器辅助对象），实现木马下载器随IE浏览器的启动而加载运行。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://m*dl.*cn*t1*3.cn/”，下载恶意程序“mydlset.exe”并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    5、江民杀毒软件能够检测并自动修复系统漏洞，阻止病毒通过漏洞传播。
    6、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打好了坚实的基础和前提。
    7、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，并可以自动搜集恶意网页加入特征库，阻止了网页木马的传播，有效保障用户上网安全。
    8、选择具备“网页防马墙”功能的杀毒软件（如KV2009），每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-11-2 15:59     标题: 妙用kv08的系统诊断

许多情况下，系统好像中毒一样出现各种异常情况，但是杀毒软件一遍遍的扫描一遍遍的升级再扫描，却始终没有发现病毒的影子，如果你是计算机方面的菜鸟，这时你是不是有些不知所措呢？你会向高手求助吗？其实这时你可以把你的系统情况使用工具如SREng生成一个扫描报告（即把你系统的安全方面的情况通过工具扫描后告诉给高手），让高手帮你分析一下～
    KV2008不仅仅增强了自我保护、提供了智能主动防御病毒、针对误杀融入了灾难恢复，还为我们提供了功能非常强大的安全辅助工具，例如进程查看器、系统诊断，其功能几乎可以与专业的冰刃、SREng等工具相媲美，有了这些再也不用去网上到处下载这些工具了，有了KV2008，你机器中多余的安全辅助工具就可以扔掉啦～

    进程查看器已经有高手写过了，下面先让我们来看一看江民为我们提供的系统诊断功能，看是不是和SREng功能一样强大，下面跟我一起来体验吧～
我们打开江民的主界面，单击“系统安全”－“系统诊断”，即可打开“江民杀毒软件系统诊断”，如图1所示



“江民杀毒软件系统诊断”，从界面上看，我们对比一下SREng，发现江民的扫描功能的选项比较全，基本上已经包括了SREng的全部功能模块，最人性化的是扫描时还显示出来要检测的内容，而SREng仅能在扫描完成后才会显示出来～

点击系统诊断界面上“设置”按钮，可以调出“江民杀毒软件系统诊断”选项，在这里勾选我们需要扫描的项目
* 建议全部勾选，因为隐藏文件和隐藏注册表扫描目标都使用默认目标．

我们设置完选项后，在“江民杀毒系统诊断”界面，我们选择“全部”会自动开始扫描，如果没有自动开始，请单击“重新扫描”按钮。
接下来休息一下，喝杯茶等待KV2008为你的系统诊断吧～

OK,我们看到扫描完成了，我们已经看到江民从系统安全的各方面详细的分析了系统的情况（系统诊断功能是不会收集用户隐私信息的），而且很智能地用不同的颜色表示出安全级别：红色代表危险、灰色代表文件不存在、黄色代表可疑，并且会把可疑的选项自动上报，所以如果你看不懂生成的报告，最好不要随便进行删除操作。我们可以这些诊断结果导出来生成报告发到江民论坛，会有专业的人员为我们分析的，到时我们只需按照高手的意见对其进行处理即可清除未知病毒～。单击“导出报告”，可能考虑到之前用户可能会对诊断结果做出修改，为了保证导出结果的即时性准确性，所以江民会再次扫描，所以接下来仍然需要等待一会儿：

OK,已经扫描完成，我们可以上论坛求助，也可以将诊断结果保存起来，这里我们选择“保存文件”，将结果保存起来，然后再上江民论坛发个求助帖吧，不用多久你就可以根据在专业人士的指点下清除病毒了～

---

作者: caobin    时间: 2008-11-2 16:00     标题: 结合kv2008加强电脑安全

很多时候，一些只在系统崩溃，或弹出许多陌生页面之后，才急忙去杀毒进行处理，但此时多是已经晚矣，因为你的系统已经受到摧残，或许信息已经丢失。因为现在很多针对ＱＱ、网游的盗号木马，侵入你的系统后第一件事，就是窃取你的密码，所以，必须要防重于杀。那么，怎样才能有效防住病毒呢?
    1.启动实时监控。有很多人，嫌杀毒软件的实时监控占资源，往往关闭其功能，其实这是一个误区。一般的杀毒软件都只占用有限的资源，像江民杀毒软件只占用13MB左右，对于系统运行速度的影响很小。所以，我们不仅应当设置为开机时自动启动监视程序，而且还要确保监视程序持续有效运行。

2.打开实时防御。如今病毒层出不穷，如果一种病毒在病毒库没有样本信息，将很有可能越过实时监控的防护。但一个病毒要想作祟，就得要进行修改注册表、注入系统进程等一些相关动作。实时防御就是要保护注册表不受修改，保障每个软件启动时不受恶意进程影响。如果你打开实时防御，当有一个程序要做这些动作时，江民杀毒软件就会提示，并且还有明显的警告级别帮助你选择是否允许。一个病毒和木马如果不能修改注册表，或不能随系统和其它软件启动，其危害就会降低很多。同时，因为暴露了行踪，我们甚至可以手工删除它。

3.经常修补漏洞。再好的操作系统或是应用软件都会有漏洞。Windows、IE、Flash、realplayer、讯雷、暴风影音，这些都有漏洞曾经被病毒、木马所利用。当然，这当中windows和IE的漏洞应该是我们最关注的，像被冲击波利用的漏洞，还有著名的ani漏洞等等。不打上补丁，再好的杀毒软件也防不住病毒的入侵。那这些补丁上哪找呢！不用怕，江民杀毒软件专门提供了漏洞修补工具。利用它，就可以修补已有windows和IE的漏洞。另外，windows的老问题，如默认共享隐患也可以利用这个修补工具加以消除。这样，体质健康的系统自然不易被侵害。当然，多到江民网站了解一些常用软件的漏洞信息也是很有必要的，而这些常用软件的漏洞，只要升级到最新版往往就可以解决问题。

4.做好数据备份。不怕一万，就怕万一。数据往往是安全工作的核心部分，必须确保其绝对可靠和安全。一般企业级的数据都会利用磁盘镜像等专业手段来进行备份和处理。可往往我们的常用机器没有这些条件，只能想别的途径和办法。首先，应该习惯将重要的数据经常备份到Ｕ盘或光盘上，以便不时之需。然后，应该安装一些数据备份和恢复软件，例如江民杀毒软件kv2008里配套的系统灾难一键恢复软件，可以在系统崩溃无法进入的情况下，一键恢复系统，无论是恶性病毒破坏或电脑用户误删除系统文件，都可轻松还原系统到无毒状态或正常状态。

5.拒绝恶意网站。现在有很多网站利用一些不健康的东西来吸引人们点击，而在背后，会把黑手伸进用户的电脑。对此，我们一定要加以防范，拒绝恶意网站。但怎样才能做到一点呢？首先，要有一个恶意网站列表目录。在这里推荐使用《电脑报》的host反黑文件列表，这当中收录了大部分常见的恶意网站域名和IP地址，当然也可以自己添加。然后使用kv2008的恶意网址过滤功能，在黑名单中将恶意网站列表输入进去，

这样就可以有效的进行防范。在江民社区，有朋已将恶意网站列表编辑为可以直接导入的rdb文件了，使用起来更加方便（链接地址：http://forum.jiangmin.com/dispbbs.asp?boardID=10&ID=477345）。还有一种方式更加严格，就是将允许上网的网站地址添加到白名单中，再将网址过滤的条件设置为“只允许访问白名单中的网址”，这样除了设定的网站，其它网站将都禁止登陆，这种方式适合像服务器等比较重要电脑使用。
6.慎用移动存储。现在移动存储设备相当流行，各种各样的U盘、存储卡以容量大、携带方便而深受大家喜爱。但同时，这又为病毒生存毒传播提供了条件和途径。如“著名”的auto病毒就是利用U盘来进行传播的，并以难以杀死、灭绝的姿态长期位于病毒预警首位。这其中很大的原因，就是在于大家在使用移动存储设备时不慎重。要想有效防范这类病毒，要从三个方面入手。首先要利用kv2008的“移动存储设备的密码保护”功能，禁止所有未经本人允许而随意乱接入移动存储设备的行为，以减少被病毒感染的机会。

其次，要利用windows的“组策略”关闭掉“自动播放功能”，让移动存储设备中的病毒无法自动激活和传播。最后，自己的移动存储设备，在不需要写入数据的情况下，尽量让其处于写保护状态，以避免病毒入侵。另外补充一点，在打开移动存储设备时，尽量使用windows资源管理器来进行，点击其文件夹树中“+”号来展开文件夹目录和文件，会最大限度地减少激活病毒的机会。

---

作者: caobin    时间: 2008-11-2 16:00     标题: 北京网络行业协会、江民科技联合发布11月02日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanDownloader.ACVE.j“反杀者”变种j和I-Worm.Joleee/i“驻邮虫”变种i值得关注。

英文名称：TrojanDownloader.ACVE.j
中文名称：“反杀者”变种j
病毒长度：23757字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.ACVE.j“反杀者”变种j是“反杀者”木马下载器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“反杀者”变种j运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“woauolt.exe”。修改注册表，实现“反杀者”变种j开机自动运行。在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放病毒文件“doscmda.dll”、“wbosakji.sys”。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现某些与安全相关的进程便会尝试结束其进程，试图将其关闭。利用进程映像劫持功能，试图屏蔽用户系统中某些安全软件的运行；利用域名映像劫持功能，在被感染计算机的后台强行篡改系统的Hosts文件，屏蔽某些安全站点，阻止用户对这些安全网站的访问，从而达到自己保护的目的。“反杀者”变种j还会在被感染计算机系统的后台连接骇客指定远程服务器站点，获取配置文件“o.jpg”，根据该文件中的设置执行相应的恶意操作。“反杀者”变种j还会在被感染计算机系统的后台连接骇客指定远程服务器站点，发送统计信息。另外，“反杀者”变种j主程序在被感染计算机系统中安装完毕后会将自身的安装程序删除掉，达到消除痕迹的目的。

英文名称：I-Worm/Joleee.i
中文名称：“驻邮虫”变种i
病毒长度：40448字节
病毒类型：网络蠕虫
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
I-Worm.Joleee/i“驻邮虫”变种i是“驻邮虫”蠕虫家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“驻邮虫”变种i隐藏在被感染计算机系统的“%SystemRoot%\”目录下，把自身伪装成系统进程名“services.exe”，防止被用户发现。在被感染计算机系统注册表启动项中添加键值，实现网络蠕虫开机自动运行。“驻邮虫”变种i具有读文件和写文件的功能，可能会在被感染计算机系统的后台窃取用户机密信息等，给用户的计算机安全带来一定的威胁。另外，“驻邮虫”变种i还可能会通过电子邮件进行自我传播，从被感染计算机上搜索有效的邮箱地址，利用被感染计算机群发带毒邮件。

---

作者: caobin    时间: 2008-11-2 16:01     标题: 北京网络行业协会、江民科技联合发布11月3日病毒播报

江民今日提醒您注意：在今天的病毒中Worm/Downloader.pd“桌面幽灵”变种pd和Trojan/PSW.LdPinch.mrm“窃贼Ld”变种mrm值得关注。

英文名称：Worm/Downloader.pd
中文名称：“桌面幽灵”变种pd
病毒长度：21153字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Downloader.pd“桌面幽灵”变种pd是“桌面幽灵”蠕虫家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。“桌面幽灵”变种pd运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“1EXPL0RE.EXE”，文件属性设置为系统、隐藏、存档。“桌面幽灵”变种pd运行时，会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://www.b*id*o.com/”，下载恶意程序“*.exe”（*表示数字1-40）并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。利用进程映像劫持功能，试图屏蔽被感染计算机上某些安全软件的运行。在被感染计算机的系统盘根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件“explorer.pif”（“桌面幽灵”变种pd），实现双击系统盘后“桌面幽灵”变种pd自动运行，给计算机用户带来潜在的威胁。在被感染计算机系统的后台连接骇客指定远程服务器站点“http://www.b*id*o.com/tj.htm”，发送统计信息。另外，“桌面幽灵”变种pd还会通过修改注册表的方式来实现蠕虫开机自启动。

英文名称：Trojan/PSW.LdPinch.mrm
中文名称：“窃贼Ld”变种mrm
病毒长度：43008字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.LdPinch.mrm“窃贼Ld”变种mrm是“窃贼Ld”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“窃贼Ld”变种mrm运行后，自我复制到被感染计算机系统的指定目录下，并重新命名保存。修改注册表，实现木马开机自动运行。“窃贼Ld”变种mrm是一个专门盗取网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。

---

作者: caobin    时间: 2008-11-3 17:39     标题: 五年版江民杀毒软件KV2009 于细微处见真功夫

转自江民科技官方网站
上周新装了一台双核电脑，在选择杀毒软件的时候，刚好看到江民杀毒软件推出五年版，价格也不贵，于是就买了一套。使用一周了，也想说说自己对这款软件使用的体会。

   对于笔者现在使用的这套5年服务期的KV2009，笔者觉得用“不同凡响”一词，应该是比较贴切的概括。接下来结合笔者近一段时间的体验，就江民KV2009的一些使用心得和技巧，跟大家进行一番分享

图1　江民KV2009全新豪华界面

　　一、软件安装时的“细节”
　　江民KV2009采用的是标准程式化安装，用户只要一路单击“下一步”按钮即可快速完成软件安装，这个用户不会感到任何困难。在完成安装后，软件会接着自动弹出一个“江民安装设置向导”窗口，一般情况下用户只要直接使用软件默认的配置参数即可，不过这里有两个“细节”地方笔者想说明一下：
   一是安装设置向导中有一个被默认选中的“对于不能清除的病毒，删除这个带毒的文件”选项，笔者觉得为了防止误删正常文件，该选项用户还是取消选中比较好，一方面江民KV2009在全球拥有最完善、最快捷的完整病毒监测和响应体系，软件又同时拥有包括启发式扫描、“沙盒”、虚拟机脱壳、自我保护、反病毒Rootkit/HOOK、“云安全”防毒等在内的众多核心杀毒技术，“不能清除的病毒”几乎微乎其微；另一方面即便是遇到了未知病毒或顽固病毒，用户也可以使用江民KV2009所独有的“互联网安检通道”功能来实时连接到江民服务器进行进一步病毒身份验证，杀毒品质完全可以得到保证（如图2）。

图2　用户可选择修改部分“安装设置”

　　小提示：
　　如果用户在安装时没有调整这个设置选项，则还可以在江民KV2009使用过程中的任何时候，进入“江民设置程序”对话框的“扫描选项”选项卡，在那里同样可以更改设置。

    二同样是在安装设置向导中，有一个“上网使用的浏览器”配置选项，这里用户如果是使用了包含IE内核的IE、傲游或世界之窗等浏览器，则可以使用软件默认的“我使用windows自带的Internet Explorer”选项，用户如果使用的是非IE内核的浏览器，则就需要更改选择“我使用其它浏览器”选项了。用户正确配置以后，江民KV2009会自动对用户浏览器上网进行全程的安全监控，主动防御网页病毒及网页挂马（如图3）。

图3　“安装设置向导”中配置浏览器类型

　　二、软件监视时的“细节”
用户第一次使用江民KV2009时，首先可以将软件界面切换到“监视”面板，软件默认开启了文件监视、邮件监视和网页监视，但是还有“即时通信”和“脚本监视”两项实时监控功能默认情况下并没有开启，这里建议用户手工开启它们，开启的方法是用户在相应监视项目右侧的“操作”栏中点击一下“打开”按钮即可，这样江民KV2009会更加全方位的自动即时拦截一切可能对用户带来损害的入侵，使江民KV2009的安全保护更加干净彻底。当然，如果用户很少用QQ或MSN这样的即时通信软件，用户不开启“即时通信”监视也是可以的，不过这种朋友现如今肯定不多了（如图4）。

图4　所有实时监视项目被全部开启

　　三、主动防御时的“细节”
　　主动防御历来是江民KV系列杀毒软件的核心功能之一，在同类杀毒软件中一直掌握着最为核心的技术，本次全新推出的江民KV2009，其主动防御功能更是在目前全球最先进的“沙盒”技术的加盟下，整体性能又有了更大的跨越和提升。
　　与上面介绍的开启全部“监视”项目类似，用户第一次使用江民KV2009时，可以将软件界面切换到“主动防御”面板，在这里除了“未知病毒监控”组件处于开启状态外，软件默认条件下“系统监控”、“木马一扫光”及“漏洞检查”等三大组件并没有开启。
笔者觉得大家应该将它们全部开启，开启的方法是：用户打开KV2009的“江民设置程序”对话框，接着切换到“主动防御”选项卡，在其中选中上述的三个组件即可将它们全部开启了（如图5）。


图5　通过设置开启所有主动防御组件

    事实上这些都是江民KV2009主动防御功能的核心组件，都蕴含着江民科技在安全主动防御领域里的众多核心技术（如图6）。

图6　开启所有主动防御的实用组件

    接下来用户在软件主界面“主动防御”面板中单击“系统监控”栏最右侧的“参数设置”，即可发现江民KV2009最引人注目的“沙盒”技术就被设置在了这里。虽然同为防范未知病毒的杀毒技术，“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行；“沙盒”技术是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演，但是沙盒会记下他的每一个动作。在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态（如图7）。

图7　江民KV2009最引人注目的“沙盒”技术

    这里还需要特别提醒用户注意的是，江民KV2009在提供了运用“沙盒”技术的智能监控模式的同时，还提供了用户具有一定可操作性的规则监控模式来进行“系统监控”，当然这也是软件默认的一种监控模式。规则监控模式是允许用户通过定制，按照未知病毒包括创建文件、程序注入、运行程序、对系统内核操作、发送邮件、消息窃听、网络下载、修改系统时间、修改注册表等在内的一些病毒或木马的共性“行为”来综合判断所监控到的未知病毒究竟是否是真的病毒，这当然也是上一个版本江民KV2008最大的亮点功能之一（如图8）。

图8　定制规则监控模式的“规则”

　　四、设置程序时的“细节”
　　江民KV2009在其“江民设置程序”中提供了近百项很实用的细节定制功能，可以最大限度满足不同用户的个性需求，以及在不同安全级别需求下方便配置以个体为单位的整体安全防御方案。另外，在江民KV2009中，对于用户的所有个性定制，软件还支持将其整体导出备份，方便用户在系统重装或异地使用江民KV2009时即时导入，功能非常体贴。
　　在软件的众多定制功能中，用户可以仔细发现其选项配置特色，以求使个性定制发挥最大实效，这里笔者可以给大家举两个小例子：
　　1.用户将打开的“江民设置程序”对话框切换到“嵌入”选项卡，这里列出了不少实用软件，用户通过钩选可以将自己需要的应用程序“嵌入”到江民KV2009中，比如笔者平时都是使用FlashGet网际快车来下载资源的，所以笔者通过这种“嵌入”，就能轻松实现江民KV2009对FlashGet下载所有资源的自动病毒检测，既快捷又安全（如图9）。

图9　通过嵌入FlashGet下载资源更安全

　　2.大家知道，别人将U盘、移动硬盘及MP3等移动存储设备随便连接到自己的电脑，如果这些移动存储设备本身带毒，则非常容易和被连入的电脑形成交叉感染。其实在“江民设置程序”的“保护密码”选项卡中，就有一个很好的对所有移动存储设备的限制措施。
　　用户进入该选项卡，选中其中的“移动设备存储”选项，接着在其右侧设定一个限制密码，以后只有能够正确输入限制密码的合法用户，电脑才能被允许读取移动设备中的相关信息，这样江民KV2009就又成功封死了一个可能对用户电脑带来侵害的病毒传播途径（如图10）。

图10　KV2009限制U盘等移动设备带毒入侵

　　总体而言，广受注目的全新江民KV2009无论是核心技术还是服务品质，都是一次前所未有的脱胎换骨。面对当前日益严峻和日趋复杂的网络安全形式，江民KV2009将融入了虚拟机、启发式、“沙盒”等技术的“云安全”防毒系统与三大未知病毒防杀技术的有机融合，可以为用户提供从“已知病毒的迅速响应到未知病毒的立体防杀”这一无间隙的安全防范体系。而江民科技充满自信的五年服务期更是给我们每一个网络用户吃下了最大的一颗“定心丸”。

---

作者: caobin    时间: 2008-11-3 17:39     标题: 北京网络行业协会、江民科技联合发布11月04日病毒播报

江民今日提醒您注意：在今天的病毒中TrojanSpy.Pophot.bzc“焦点间谍”变种bzc和Trojan/Chinaad.y“恶搞鬼”变种y值得关注。

英文名称：TrojanSpy.Pophot.bzc
中文名称：“焦点间谍”变种bzc
病毒长度：36352字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.bzc“焦点间谍”变种bzc是“焦点间谍”间谍类木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。修改注册表，实现木马开机自动运行。在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警告”、“IE保护”、“主动防御”等）便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，达到自我保护的目的。在后台连接骇客指定的远程服务器站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来潜在的威胁。

英文名称：Trojan/Chinaad.y
中文名称：“恶搞鬼”变种y
病毒长度：190464字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Chinaad.y“恶搞鬼”变种y是“恶搞鬼”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，在被感染计算机上执行恶意操作，隐藏自我，防止被查杀。“恶搞鬼”变种y运行时，会在被感染计算机系统的后台定时访问指定的恶意广告站点，提高这些恶意网站的访问量（网络排名），不仅给骇客带来经济利益，而且还会严重影响和干扰用户的正常操作。“恶搞鬼”变种y会占用大量系统资源，极大地降低了系统的运行速度。另外，“恶搞鬼”变种y还会在被感染计算机系统中自我注册为BHO（浏览器辅助对象），实现木马随IE浏览器的启动而加载运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    4、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    5、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，并可以自动搜集恶意网页加入特征库，阻止了网页木马的传播，有效保障用户上网安全。
    7、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

作者: caobin    时间: 2008-11-4 20:12     标题: 江民反病毒20年大事记

◆2008年10月14日，江民杀毒软件KV2009正式发布，新品国内首次融入启发式扫描、“沙盒”等先进的未知病毒防范技术，并以多达30余项的创新技术和功能被称为“全功能杀毒软件”。
◆2008年9月23日，江民科技奥运网络安保工作突出受到有关部门表彰。
◆2008年8月4日，江民科技召开奥运安保小组誓言大会，24小时值守奥运网络安保应急工作。
◆2008年7月10日，江民科技被第29届奥运会网络安全指挥部聘为第29届奥运信息网络安全技术保障单位。
◆2008年6月24日，江民推出六大创新反病毒技术 为2008网络安全保驾护航。
◆2008年6月2日，江民发布“Flash蛀虫”病毒警报，推出病毒专杀工具。
◆2008年5月14日， 江民科技全体员工通过中国红十字总会向四川地震灾区捐款30万人民币支援地震灾区重建工作。  
◆2008年4月15日，江民科技发布江民杀毒软件KV网络版2008，联手英特尔推安全主动管理技术（SAMT）。  
◆2008年3月,江民科技发布“磁碟机”专杀工具，号召全国追杀病毒。
◆2008年1月22日,江民科技成立北京2008奥运网络安全应急响应小组。  
◆2008年1月10日,江民被评为07年国家信息通报技术支持工作先进单位。
◆2007年11月9日，2007年中国创意产业年度大奖在北京钓鱼台国宾馆隆重揭晓，江民科技入选2007中国创意产业100强。
◆2007年11月8日，北京奥林匹克运动会组委会在北京奥运大厦召开了信息网络安全专家聘请会，公司董事长王江民成为杀毒厂商中唯一受聘的网络与信息安全专家。
◆2007年9月11日，江民科技在北京翠宫饭店举行了盛大发布会，正式发布江民杀毒软件KV2008，新品成功突破了两大世界性反病毒难题，成为全球首家具有灾难恢复功能的智能主动防御杀毒软件。
◆2007年10月11日，江民科技宣布开展“杀毒升级风暴”活动，所有曾经使用过江民杀毒软件的老用户，都可凭老产品序列号，以68元的特价购买与组合版功能完全相同的江民杀毒软件KV2008升级版套装。
◆2007年8月10日，江民杀毒软件2007再次通过了英国西海岸实验室国际反病毒Checkmark权威三项认证（CheckmarkL1查毒、CheckmarkL2杀毒、反木马）的复检，连同6月份首家通过的Checkmark Vista反病毒认证，一举成为国内首家唯一通过Checkmark反病毒四项认证的国产杀毒软件。
◆2007年6月13日，江民杀毒软件KV2007已于上周正式通过英国西海岸实验室VISTA反病毒权威认证，成为国内首家通过第三方权威VISTA反病毒认证的国产杀毒软件。
◆2007年6月11日，继联合中国残联共同完成“百所特殊教育学校网络安全工程”，成功部署全国21个省市的特殊教育院校网络安全后，江民科技宣布面向教育行业发起“教育安全风暴”活动。
◆2007年4月17日，江民科技宣布正式发布江民杀毒软件KV网络版2007，国内首创“病毒威胁统一管理”的安全理念。
◆2007年4月9日，江民科技公司宣布在福建、海南、内蒙古三地全面启动“杀毒安全风暴”活动，以58元超低价格向当地用户特供原价228元的江民杀毒软件KV2007，让更多的电脑用户可以享受到正版杀毒软件提供的优质网络安全服务，免受病毒侵扰。
◆2007年3月31日，为了进一步防范"光标漏洞"蠕虫病毒利用微软Windows系统ANI文件处理漏洞疯狂传播，江民反病毒中心紧急研发推出了“光标漏洞专杀工具”，有效遏制了病毒的进一步蔓延。
◆2007年2月7日，江民杀毒软件KV网络版被北京市科委认定为北京市自主创新产品，并将由认定工作小组向政府采购、重大工程等相关采购机构推荐。
◆2007年2月1日，江民科技率先发布国内首款全面支持微软Vista系统的杀毒软件，填补了国内杀毒软件普遍无法兼容Vista的市场空白。
◆2007年1月18日，江民科技发布“熊猫烧香”病毒追杀令，再次围剿“熊猫烧香”。
◆2006年9月份，江民杀毒软件KV2007新版在人民大会堂发布。
◆2006年9月份，江民杀毒软件手机版发布。
◆2006年9月份，江民杀毒软件被国家质检总局评为中国名牌产品。
◆2006年7月份，江民杀毒软件新的形象代言吉祥物--“凯威”诞生。
◆2006年6月份，江民信息安全系列产品新的成员--《江民密保》研发上市。
◆2006年4月份，国内首家通过英国西海岸实验室反病毒checkmark国际认证。
◆2006年3月份，通过软件成熟度CMMI国际认证。
◆2006年2月份，江民杀毒软件KV网络版2006隆重发布。
◆2005年11月9日，江民科技宣布为盛大互动娱乐终端EZStation定制专用杀毒软件。
◆ 2005年10月12日,江民科技为全国第十届运动会组委会新闻中心提供防病毒服务。
◆2005年10月份，江民科技通过ISO9001国际质量体系认证。
◆2005年9月6日，江民科技在北京钓鱼台隆重发布了KV2006新品。独创BOOTSCAN杀毒技术，是国内首款兼容32位系统的64位杀毒软件。
◆2005年6月8日，江民科技正式发布KV2005“未知病毒主动防御”系统。
◆2005年5月16日，国内最大的反病毒软件公司江民科技宣布启动“教育杀毒风暴”，推出江民杀毒软件KV网络版教育行业专用产品。
◆2005年4月19日，国内最大的计算机反病毒软件专业厂商江民科技宣布启动病毒“斩首行动”，“五一”前夕向终端发放百万套反病毒扑克牌“通辑令”。
◆2005年3月8日，江民科技宣布研发成功一种新型反病毒技术——木马行为阻断技术。
◆2005年 1月17日，江民科技宣布开展为期两周的在线杀毒义卖活动，将两周之内义卖募得的所有款项全部捐给中华慈善总会，以支援印度洋海啸灾区人民。
◆2004年12月份，江民率先截获“证券大盗”病毒，并召开“网上证券交易安全研讨会”。
◆2004年11月份,集成了移动网管等多种新技术的KV网络版2005正式发布。
◆2004年10月份，国内首款系统级杀毒软件KV2005正式发布，独创三大技术“系统级编程技术”“立体联动防杀技术”“系统级深度防护技术”。
◆2004年8月份，江民宣布KV系列杀毒软件率先支持微软WINXP SP2安全中心认证。
◆2004年7月份，江民与微软结成ISV合作伙伴关系。
◆2004年5月底，江民开展“夏季缉毒风暴”活动，推出KV2004国际版，在日本、美国、加拿大等国家同步发售。
◆2004年5月份，江民电脑急救全国连锁组织成立，全国首个数据修复权威品牌诞生。
◆2004年5月份，与全国十二家地方媒体合作免费发放60万张震荡波病毒应急光盘。
◆2004年4月底，江民率先截杀“网银大盗”及震荡波病毒，同期开展了“网上银行安全月”活动。
◆2004年2月份，开展“江民携手破天一剑，倡导安全娱乐”活动，推出“防盗先锋”产品，从技术层面保障广大游戏玩家的虚拟财富的安全。
◆2003年11月15日，江民公司组团参加在澳大利亚悉尼召开的亚洲反病毒大会，江民公司网站发布的病毒预警被与会专家通报表扬。
◆2003年10月28日，推出江民杀毒软件KV2004充值版和充值卡。
◆2003年8月12日，国内首家截获并查杀“冲击波”病毒，中央电视台《东方时空*东方之子》栏目就此事对江民公司总裁王江民进行了专访。
◆2003年7月21日推出江民杀毒软件KV2004。
◆2003年6月，正式推出KV江民杀毒软件在线杀毒版。
◆2003年4月，江民杀毒软件日本版VIRUS DOCTOR在日本正式上市。
◆2003年3月，发起江民网络版杀毒软件阳光行动，成功切入中小企业杀毒市场。
◆2003年1月，KV江民杀毒王2003正式上市。
◆2002年推出KV3000杀毒王，研发并推出“比特动态虑毒技术”、“前杀病毒技术”。
◆2001年KV3000连续三年荣获中国软件行业协会“中国优秀软件产品”大奖。
◆2001年KV3000连续四年荣获连邦软件排行榜“十佳国产PC软件”大奖。
◆2001年KV3000获电脑报“佳能杯”读者有奖调查双项大奖，即“读者首选品牌和市场占有率第一品牌”。
◆2001年9月KV3000适应中国加入WTO，隆重推出多功能、多语言国际版，使国产软件走向世界。
◆2001年9月KV网络版胜利推出，在公安部的评测中为最高分。
◆2000年江民公司创中关村科技园区前100名利税大户，并创中关村科技园区“其它行业总收入前50名”。
◆2000年12月KV3000成功推向日本市场，日方一次订货3万套，后加订了5万套。
◆2000年11月KV3000隆重推出，同年，独创硬盘救护箱功能，被评为一级品（最高品）。
◆1999年1月江民公司开发出实时监测病毒防火墙，并增加了检测ZIP、ARJ、RAR等压缩文件的功能。
◆1998年12月江民公司开设了http://www.jiangmin.com.cn;http://www.jiangmin.com.两个网站为用户提供全方位的服务。
◆1998年12月KV300+在国内又第一个清除WORD97、98类的宏病毒，并且第一个杀除了WINDOWS无数次变形的Marburg病毒。
◆1998年8月30日江民公司成功推出了杀CIH病毒的升级版，这是第一个能完全干净不留病毒僵尸和残余代码的杀毒软件，并免费为用户修复了上万个硬盘数据，8月31日被公安部下文推荐。
◆1997年11月KV300+上市，在国内第一个清除WORD95宏病毒。
◆1996年9月KV300成功上市，在国际上首次将灾难恢复功能加入到KV300中，全国出现排队抢购局面。
◆1996年8月江民公司在中关村注册成立。
◆1995年KV200上市，国内用户使用上首款能够自我扩充杀病毒代码库的杀毒软件。
◆1994年KV100杀病毒软件诞生，中国出现了一匹杀毒黑马，用户首次使用智能广谱自我扩充查毒代码技术。
◆1993年，王江民编写的KV50杀病毒软件诞生。
◆1992年，王江民编写的KV20杀病毒软件诞生。
◆1991年，王江民编写的KV12杀病毒软件诞生。
◆1990年，王江民编写的KV6杀病毒软件诞生，一次成功杀除多种病毒。
◆1989年，王江民编写出石头、小球病毒专杀工具。
◆1988年，王江民手工解除大麻、石头、小球病毒。

---

作者: caobin    时间: 2008-11-4 20:13     标题: 北京网络行业协会、江民科技联合发布11月05日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQPass.udu“QQ大盗”变种udu和Trojan/StartPage.btj“初始页”变种btj值得关注。

英文名称：Trojan/PSW.QQPass.udu
中文名称：“QQ大盗”变种udu
病毒长度：25718字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.udu“QQ大盗”变种udu是“QQ大盗”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“QQ大盗”变种udu是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取“QQ”的用户名和密码等信息，并在后台将窃取到的信息发送到骇客指定的远程服务器站点中（地址加密存放），给用户带来一定程度的损失。试图强行删除被感染计算机系统中的QQ医生反病毒程序“QQDoctor.exe”，达到自我保护的目的。“QQ大盗”变种udu具有自动更新功能，会根据骇客指定站点的配置文件来决定自身是否需要升级更新。另外，“QQ大盗”变种udu会在被感染计算机系统注册表启动项中添加键值，实现木马开机自启动。

英文名称：Trojan/StartPage.btj
中文名称：“初始页”变种btj
病毒长度：20480字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.btj“初始页”变种btj是“初始页”木马家族中的最新成员之一，采用“VC++”编写，并且经过加壳保护处理。“初始页”变种btj运行时，会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://www.*ah*o5*0.com/”，下载恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。在被感染计算机系统注册表启动项中添加键值，实现木马开机自启动。“初始页”变种btj可能会篡改被感染计算机系统中的IE浏览器首页，并将其强行设置为骇客指定的站点，致使用户一打开浏览器窗口便连接骇客指定站点，增加某网站的访问量，给骇客带来经济利益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    5、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，并可以自动搜集恶意网页加入特征库，阻止了网页木马的传播，有效保障用户上网安全。
    6、江民杀毒软件能够检测并自动修复系统漏洞，阻止病毒通过漏洞传播。
    7、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    8、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

---

欢迎光临 IT家园 (http://bbs.it998.com/)

Powered by Discuz! 7.2