caobin

江民今日提醒您注意：在今天的病毒中Trojan/StartPage.aza“初始页”变种aza和Trojan/PSW.QQPass.udx“QQ大盗”变种udx值得关注。

英文名称：Trojan/StartPage.aza
中文名称：“初始页”变种aza
病毒长度：35840字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.aza“初始页”变种aza是“初始页”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“初始页”变种aza运行后，会在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放恶意DLL功能组件“*.dll”和恶意驱动文件“*.sys”，文件名随机生成。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台定时访问指定的恶意广告站点，提高某网站的访问量（网络排名），给骇客带来经济利益、严重影响和干扰用户的正常操作。“植木马器”变种ps还会占用大量系统资源，极大地影响了系统的运行速度。在被感染计算机的后台秘密窃取用户当前所使用系统的配置信息，然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。“初始页”变种aza释放出来的恶意驱动程序每次启动后都会强行篡改系统IE浏览器的默认首页为指定站点，以便增加某网站的访问量。

英文名称：Trojan/PSW.QQPass.udx
中文名称：“QQ大盗”变种udx
病毒长度：46205字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.udx“QQ大盗”变种udx是“QQ大盗”木马家族中的最新成员之一，采用“Delphi”语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“QQ大盗”变种udx是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取用户的QQ用户名和密码等机密信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点上，给用户带来一定程度的损失。“QQ大盗”变种udx会在被感染计算机系统注册表中添加键值来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

这是在江民官方网站上看到的，新发布的2009版本能用5年，这是真的？
10月14日，国内最大的计算机反病毒软件厂商江民科技隆重发布新品KV2009。发布会现场，江民科技总裁陶新宇宣布，KV2009盒装产品在原来两年服务期的基础上再延长三年，推出5年服务期版本，成为目前全球反病毒软件市场中服务期限最长的杀毒软件。

    据了解，目前国内主流杀毒软件公开宣称的服务期最长为两年，江民科技将服务期延长至五年，无疑在本来竞争激烈的杀毒市场投下了一枚炸弹。陶新宇介绍，江民此举是实实在在给用户让利。长期以来江民科技努力在反病毒技术上不断推陈出新，推出一项又一项计算机反病毒新技术，有力地阻击和遏制了计算机病毒的蔓延。然而，由于国内外多达数十款杀毒软件或安全工具软件在争抢杀毒市场，在技术上难免泥沙俱下，鱼目混珠。近年来出现的新病毒中多数是驱动级病毒，一些不具备内核级技术的杀毒软件纷纷被病毒关闭和破坏，导致许多电脑用户对杀毒软件意见很大，影响了杀毒软件的声誉，加上一些不掌握杀毒核心技术的厂商为了推广自己的产品不惜诋毁整个杀毒产业，抛出“杀毒软件将死”“杀毒软件无用”等种种论调，让许多电脑用户在选择杀毒软件时无所适从。

    再先进的技术也需要最广泛的普及应用才有意义，为了让更多的电脑用户使用上江民科技领先的计算机反病毒技术和产品，江民决定最大力度让利占领市场，让用户用上先进的反病毒产品，为杀毒软件正名，为整个杀毒行业正名。

    江民科技董事长王江民表示，江民科技有着雄厚的经济基础，拥有国内最大的自主产权计算机反病毒基地，完全有能力打赢这场杀毒市场的持久战。江民科技指出，一些企业提出的“永久免费”的永久是虚无的，而江民提出的五年免费升级服务期是实实在在可以看到的。

    此次江民发布的新品KV2009被称为全功能杀毒软件，有着十余项创新技术以及多达三十余项的安全功能，防范涵盖计算机病毒防范、互联网安全、系统安全、数据安全等四大方面。对于有人提出为什么不称为“全功能安全软件”说法时，王江民认为，安全软件在我国事实是国外英文名称翻译过来的词汇，江民科技不会放弃“杀毒软件”这一我国特定的产品名称，并非叫杀毒软件就只有杀毒这一项功能，江民KV2009全功能杀毒软件的三十余项功能比国外的安全软件只多不少。

    业内人士认为，江民科技作为有着20年计算机反病毒历史的国内老牌反病毒企业，此次推出杀毒软件5年服务期限的新举措，为杀毒行业树立了一个服务新标杆。电脑用户需要真正能防杀病毒的新技术和新产品，同样在服务上也希望能够得到更多的实惠，以技术著称的江民科技此次率先大幅延长服务期限，必将带动整个杀毒软件市场从无序竞争向技术和服务两大主题转型，无疑电脑用户将最终成为最大受益者。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/Vundo.efo“雾毒”变种efo和Trojan/Qhost.aoi“Hosts劫持者”变种aoi值得关注。

英文名称：Trojan/Vundo.efo
中文名称：“雾毒”变种efo
病毒长度：81408字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vundo.efo“雾毒”变种efo是“雾毒”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“雾毒”变种efo是一个专门盗取网络游戏“封印簡訊Online”玩家会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的这些机密信息资料发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失，给游戏玩家带来不同程度的损失。同时，“雾毒”变种efo还具有窃取玩家游戏账号密码保护资料的功能。如果游戏玩家发现自己的游戏账号被盗，请千万不要在当前被感染的计算机上登陆该网络游戏的会员官方网站去找回游戏密码，不然可能会连同您的密码保护资料一同被骇客盗取，给您带去更大程度的损失。“雾毒”变种efo运行时，会在被感染计算机的后台秘密监视用户打开的所有网页窗口，一旦发现“GASH网络游戏”官方网站的会员登陆窗口便开始记录用户输入的信息（利用钩子和自动读取分析网页代码提交表单等方式），从而达到窃取用户“GASH网络游戏”官方网站会员账号和会员密码等机密信息资料的目的，并在后台将窃取的这些机密信息资料发送到骇客指定的远程服务器站点中或邮箱里，会给被感染计算机用户带来一定程度的损失。另外，“雾毒”变种efo会通过修改注册表来实现木马开机自启动。

英文名称：Trojan/Qhost.aoi
中文名称：“Hosts劫持者”变种aoi
病毒长度：237568字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Qhost.aoi“Hosts劫持者”变种aoi是“Hosts劫持者”木马家族中的最新成员之一，该病毒是由其它恶意程序释放出来的DLL功能组件，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“Hosts劫持者”变种aoi运行后，会在被感染计算机的后台强行篡改用户系统中的“hosts”文件，向内部添加上百个与计算机安全有关的站点地址。利用域名映像劫持功能来屏蔽被感染计算机与外部安全站点的连接，使中毒计算机无法得到快速有效的处理，给用户的正常连网操作带来一定的干扰。另外，“Hosts劫持者”变种aoi还会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    4、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机。
    5、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    6、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

新版本上市难免让人期待一番，下面是我所认识的kv2009

1.安全防范全面。从安装的第一步开始，我们就可以体会到江民的强大和细腻，在自定义安装模式下，江民KV2009提供“核心组件及病毒库、增强工具、江民共用组件、江民主动防御、江民杀毒软件语言包”等5个功能模块、20多个组件的强大功能，可以说，安装江民KV2009后，就可以轻松防范来自互联网、局域网、移动存储设备、垃圾邮件、恶意网站、未知病毒……等等方方面面的攻击和威胁。

  2.人性化设置突出。KV2009提供的安装设置向导包括“配置开机扫描病毒、配置扫描病毒选项、配置文件监控、配置网页监控、配置主动防御、配置主动防御”等丰富的设置选项，让各种用户都可以根据自己的应用环境配置个性化的安全设置。

  3、软件体积有所减小。相对江民KV2008安装包47MB，安装后占用磁盘空间84MB，江民2009安装包大小仅为36.7MB，安装后占用磁盘空间缩小至57MB。

  4、新增功能丰富。KV2009新增大量功能，包括启发式扫描、虚拟机脱壳、沙盒技术、内核级防御、多行为智能主动防御、ARP欺骗攻击防护、互联网安检通道、系统检测安全分级、反病毒Rootkit/HOOK技术、“云安全”防毒系统等十余项新技术。

  5.杀毒实测。归根结底，病毒查杀功能才是目前用户关注的焦点，也是安全软件的基石，下面我们看看KV2009的病毒查杀实力。测试样本为2007年病毒样本，包括Bot、病毒、黑客工具、后门、间谍、木马、蠕虫、Rootkit和加壳样本，共9大类483个。

  KV2009病毒库未升级，为安装后默认病毒库（2008-8-19），测试结果显示，江民KV2009查杀348个病毒，占病毒总数的72%。对照软件为McAfee 8.5i Patch5，病毒库升级为最新（2008-10-6），检测出病毒344个，占病毒总数的71%。由于KV2009在虚拟机上测试，而McAfee 8.5i Patch5在宿主机上测试，因此，杀毒时间不具可比性。测试中出现一个比较奇怪的现象，病毒包内共有病毒样本483个，另外还有一个readme文件，共484个文件，但是江民却扫描的594个文件，而McAfee 8.5i只扫描了482个文件。测试结果截图参加http://picasaweb.google.com/pacificocean/Public#

  综合来说，江民KV2009在功能和病毒防范上的进步还是十分明显的，其新增的功能绝不是徒有其表，特别是病毒查杀性能强劲，未升级病毒库的KV2009已经超越McAfee 8.5i，这进一步增强了我们对KV2009正式版的期待和信心。

caobin

作为一名从KV3000时就开始使用江民杀毒软件的老用户，我对江民的每一次新品发布都很关注。此次KV2009公测，我当然不能错过。第一时间从网上下载了较新的公测版本（9月11日版本，大小为44.6M）。考虑到真机环境测试病毒具有一定的危险性，因此此次测试我使用了VMWare虚拟机，虚拟了XP和VISTA两套系统供测试使用。

测试环境：

主板:ASUSP5G-MX (BIOSversion:0401) CPU: IntelCore2Duo E4500内存: KingstonDDR2 6671G + Kingstion DDR2667 2G 硬盘 : Seagate7200.9Barracuda160G显卡:Integrated IntelGMA950

虚拟机配置如下:

WindowsXP: 512MBMemory 8GBHDDSize WindowsVista:1024MBMemory 16GBHDDSize

一、界面色彩清新，简洁易用

与以往界面相比，此次KV2009的界面有了很大改变，原来的菜单式界面改为选项卡式界面，老用户可能会因为使用习惯一时不太适应，但是更方便新用户上手操作。由于本人喜欢使用英文操作系统，因此KV2009安装后默认是英文界面，感觉很好。如图一：


（图一）

(需要说明的是，与其它杀毒软件不同，在语言选择上，江民KV2009是默认与操作系统使用同样的语言，分为简体中文、繁体中文、英文、日文四种版本。)

二、再见经典BootScan

江民KV2009中，经典的BootScan依然被保留，与国内其它启动杀毒或抢先杀毒不同，江民BootScan在程序启动顺序上是最领先的。XP下的使用效果自然不用说了，Vista下的 Bootscan也十分好用。


三、实战病毒：

下面就是病毒测试了，我作为个人用户，不可能做海量测试，毕竟很难保证大病毒库文件的完整，网上那种几千个病毒打包的，很多病毒体已经损坏了，不能作为严格意义上的样本。而且有不少是 Zoo样本。而类似 VB100的 Wildlist库又很难维护。所以我这里的病毒测试也就是测一测 KV2009的监控和一些常见的流行病毒，以及过其他杀软的病毒。看看 KV2009的表现。

1、 首先是Eicar文件测试

Eicar标准防病毒测试文件是欧洲计算机病毒研究机构和反病毒公司共同推出的用于测试防病毒产品防毒功能是否正常的测试文件。分为网页监控测试、文件监控测试、压缩文件测试、双重压缩文件测试四项，一一打开四项测试，KV2009的表现还是如 KV系列一贯的表现，监控反应迅速灵敏，刚打开eicar测试网页,KV2009立即报出病毒。


2、测试驱动病毒“磁碟机”

在某专业反病毒论坛上，选择了一个号称为“目前为止过所有杀软扫描”的“磁碟机3代”病毒，刚点击KV2009立即报毒，并阻止了病毒文件的下载。

3、测一个号称过卡巴的木马

选择了一个号称“过卡巴”的病毒文件，刚点击KV2009立即报警，提示发现病毒名为“Backdoor/Hugezi.Gen”病毒。


4、测加壳的灰鸽子

选择一加壳“灰鸽子”病毒，刚点击KV2009立即报警，并提示发现“Backdoor/Hugezi2007”某变种，病毒文件保存失败，KV2009文件监控发挥了作用。


除了以上对一些病毒进行测试外，我还对论坛上有一些用户提出的KV2009在 Vista下全盘扫描会蓝屏(“VISTASP1下一全盘扫描没几分钟就蓝屏只好强制重启”帖地址 http://bbs.jiangmin.com/dispbbs. ... D=527536&page=2 )。由于我刚好有条件，就测试了一下 VistaHomePremium和 VistaUltimate，跑下来完全没有问题，看来稳定性还是不错的。

测试过程中，我发现 KV2009的代理不支持域功能，虽然在国产杀软里面是个普遍现象，毒霸和瑞星也都不支持，但还是希望江民能够在适当时候支持这个功能，QQ的代理是支持域的。

caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.Soulwork.d“灵魂杀手”变种d和TrojanDownloader.Agent.apgq“代理木马”变种apgq值得关注。

英文名称：TrojanSpy.Soulwork.d
中文名称：“灵魂杀手”变种d
病毒长度：24576字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Soulwork.d“灵魂杀手”变种d是“灵魂杀手”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“灵魂杀手”变种d是一个专门盗取“魔域Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“灵魂杀手”变种d会通过修改注册表的方式来实现木马开机自启动。

英文名称：TrojanDownloader.Agent.apgq
中文名称：“代理木马”变种apgq
病毒长度：36352字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.apgq“代理木马”变种apgq是“代理木马”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“代理木马”变种apgq运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“vmdetdhc.exe”（文件属性设置为：系统、隐藏、存档）。修改注册表，实现木马开机自动运行。替换被感染计算机系统中的“%SystemRoot%\system32\drivers\Beep.sys”驱动文件，替换后的恶意驱动文件大小为3872字节。利用内核级还原“SSDT HOOK”技术恢复被感染计算机系统中的SSDT表（System Service Descriptor Table，系统服务描述表），致使大部分安全软件和杀毒软件的监控与主动防御功能失效，从而试图结束这些安全软件和杀毒软件的进程，达到自我保护的目的。以挂起的方式在被感染计算机的后台调用系统“svchost.exe”进程，并向其进程内存空间中注入恶意可执行代码，然后调用运行，执行访问网络等恶意操作。利用病毒调用的系统“svchost.exe”进程再次以挂起方式在后台调用系统IE浏览器进程“IEXPLORE.EXE”，并向其进程内存空间中注入恶意可执行代码，然后调用运行。如果被感染计算机上已安装了防火墙并启用，就可以利用用户设置的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。在被感染的计算机上查找指定的窗口名，一旦发现便通过发送“允许”和“关闭”消息来尝试躲避某安全软件的拦截。在后台连接骇客指定站点，在被感染计算机上安装恶意程序、下载安装著名下载软件“迷你**”商业版、在后台定时访问指定的恶意广告站点，提高这些恶意网站的访问量（网络排名），不仅给骇客带来经济利益，而且还会严重影响和干扰用户对计算机的正常操作。另外，“代理木马”变种apgq还会自升级。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    5、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.MultiFirst.b“魔笛手”变种b和TrojanSpy.Delf.cww“TrojanSpy.Delf”变种cww值得关注。

英文名称：TrojanSpy.MultiFirst.b
中文名称：“魔笛手”变种b
病毒长度：3564字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.MultiFirst.b“魔笛手”变种b是“魔笛手”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“魔笛手”变种b隐藏在被感染计算机系统的%SystemRoot%\system32\目录下，文件名为“System.exe”。在后台创建一个名为“HBInjectMutex”的互斥体，防止病毒自身运行多个实例。安装运行恶意驱动程序“HBKernel32.sys”，达到自我保护的目的。“魔笛手”变种b会在被感染计算机系统的后台调用运行其它病毒主程序释放出来的几十种恶意DLL组件，这些恶意DLL组件均为网络游戏盗号木马。这些恶意DLL组件运行后，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取玩家多款网络游戏的账号、密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“魔笛手”变种b会通过修改注册表的方式来实现木马开机自启动。

英文名称：TrojanSpy.Delf.cww
中文名称：“TrojanSpy.Delf”变种cww
病毒长度：18432字节
病毒类型：间谍类木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Delf.cww“TrojanSpy.Delf”变种cww是“TrojanSpy.Delf”木马家族中的最新成员之一，采用“delphi”语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“TrojanSpy.Delf”变种cww是一个专门盗取“腾讯QQ”即时聊天工具用户名和密码的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取QQ的用户名和密码等机密信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点中或邮箱里（地址加密存放），给用户带来一定程度的损失。在后台向其QQ好友列表中所有在线好友发送带毒文件“最新艳照.rar”，达到自我传播的目的。另外，“TrojanSpy.Delf”变种cww会通过修改注册表来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    5、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，以避免病毒利用微软漏洞攻击计算机。
    6、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

想象一下，在一个装满了平整细沙的盒子里，我们可以尽情随意地在上面作画、涂写，无论画的好坏，最后轻轻一抹，沙盒又回到了原来的平整状态。沙盒的魅力就在于他允许你出错，还可以给你改正的机会。如今，这种神奇的“沙盒”被应用到了计算机反病毒领域。10月14日，第29届奥运会网络安全指挥部技术保障单位江民科技宣布，国内首家研发成功“沙盒”杀毒技术，并在正式发布的江民杀毒软件KV2009中得到成功应用。这种技术可以随时将病毒在电脑“沙盒”中抹去，恢复电脑到正常状态。

     由于计算机新病毒呈爆炸式增长趋势，专业杀毒软件厂商开始侧重于研发未知病毒防范技术。目前应用较多的未知病毒防御技术有基于病毒行为的智能主动防御技术，以及虚拟机技术，启发式扫描技术。“沙盒”技术是国际反病毒业界近年来最新提出的反病毒新概念，多数杀毒厂商尚处于实验室研究阶段，江民科技成为国内首家将该项新技术应用到产品中的专业杀毒厂商。

    据江民反病毒专家介绍，虽然同为防范未知病毒的杀毒技术，“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行；“沙盒”技术是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演，但是沙盒会记下他的每一个动作，在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态。

    应用了“沙盒”技术的江民杀毒软件KV2009是江民科技年度重磅产品。除了沙盒技术之外，该款新品亮点迭出，国内首家研发成功启发式扫描、内核级自防御引擎，填补了国产杀毒软件在启发式病毒扫描以及内核级自我保护方面的技术空白。并新增和增强了多行为智能主动防御、网页防木马墙、ARP攻击防护、互联网安检通道、系统安全检测、反病毒Rootkit/HOOK技术、“云安全”防毒系统等三十余项功能和新技术。

    江民科技总裁陶新宇表示，江民反病毒研发中心将投入更多的资源，研发更多更新的技术，全力打造“江民杀毒软件——专业杀毒软件”品质和理念。陶新宇认为，唯有专业、专注才能给用户带来真正的安全。江民科技拥有20年的计算机反病毒经验和积累，在此基础上研发成功的多种反病毒新技术，必将给用户的电脑应用带来全面而独到的安全防范。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQPass.sri“QQ大盗”变种sri和Exploit.MS07004.b“MS07-004漏洞利用者”变种b值得关注。

英文名称：Trojan/PSW.QQPass.sri
中文名称：“QQ大 盗”变种sri
病毒长度：47709字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.sri“QQ大盗”变种sri是一个传播QQ钓鱼网站的木马程序，通过弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗，从而利用让用户交纳手续费的方式来骗取钱财。该病毒图标伪装成一只小企鹅（类似于腾讯QQ软件的图标，只是清晰度很差），采用VB语言编写，并且经过加壳保护处理。“QQ大 盗”变种sri运行后，在当前路径下释放一个功能组件文件“x1.exe”并自动调用运行。在被感染计算机系统中定时弹出伪装的QQ中奖消息窗口来诱惑用户上当受骗。这些广告来源地址为“http://q*x*2.cn/m/test.htm”、“http://*qxm*.cn/m/gx.htm”，骇客可以远程随意更新这些网址上的信息内容。一旦用户点击了这些窗口中的恶意网站链接，该木马程序便会调用IE浏览器打开伪装的腾讯QQ网站，并显示虚假的中奖信息，诱惑用户点击并进入领奖窗口。用户按照中奖消息上提供的验证码“2818”去钓鱼网站“http://*qxm*.cn/ndex.htm”上领取奖品，需要填写个人信息资料等信息。当用户输入的验证码不是“2818”时，钓鱼网站会提示“激活码验证不正确！（无法确认您的幸运身份）请正确输入！”，这样可以降低用户的可疑心理。领奖信息全部填写完毕后，钓鱼网站会提示您给骇客的银行帐户汇钱（如果中的是二等奖，需要打1200元），就算用户把钱汇过去也不会得到任何奖品，因为这些骇客就是为了骗钱才建立的这种钓鱼网站。这种不法行为在给用户财产带来损失的同时，也会给用户的心理上带来一定的伤害，可谓罪孽重重 。另外，“QQ大盗”变种sri无启动项，是借助其它病毒的调用而启动运行的。

英文名称：Exploit.MS07004.b
中文名称：“MS07-004漏洞利用者”变种b
病毒长度：1159字节
病毒类型：脚本病毒
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.MS07004.b“MS07-004漏洞利用者”变种b是“MS07-004漏洞利用者”脚本病毒家族中的最新成员之一，采用JavaScript脚本语言编写，并且经过多层加密保护处理。“MS07-004漏洞利用者”变种b是一个利用微软MS07-004漏洞传播其它病毒的网页脚本病毒。“MS07-004漏洞利用者”变种b一般内嵌在正常网页中，如果用户计算机没有及时升级修补微软MS07-004漏洞相应的补丁，那么当用户使用浏览器访问带有“MS07-004漏洞利用者”变种b的恶意网页时，就会在当前用户计算机的后台连接骇客指定远程服务器站点“http://www.p*ay*ni*.net/”，下载恶意程序“down.exe”并自动调用运行。其中，所下载的恶意程序可能是网游木马、流氓广告、病毒后门等，会给被感染计算机用户带来一定程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    4、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。
    5、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

江民今日提醒您注意：在今天的病毒中Packed.Krap.al“卡拉蜜”变种al和TrojanDownloader.Agent.anhf“代理木马”变种anhf值得关注。

英文名称：Packed.Krap.al
中文名称：“卡拉蜜”变种al
病毒长度：143872字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Krap.al“卡拉蜜”变种al是“卡拉蜜”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“卡拉蜜”变种al运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警报”、“网页”）的窗口，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，达到自我保护的目的。“卡拉蜜”变种al是一个盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。同时，该木马还会窃取用户“雅虎通（Yahoo! Messenger）”和“Yahoo奇魔”的账号信息，并在后台发送到骇客指定的远程服务器上。“卡拉蜜”变种al具有自动更新功能，连接指定站点进行自动升级。另外，“卡拉蜜”变种al会通过修改系统注册表的方式来实现木马开机自启动。

英文名称：TrojanDownloader.Agent.anhf
中文名称：“代理木马”变种anhf
病毒长度：45056字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.anhf“代理木马”变种anhf是“代理木马”木马下载器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。“代理木马”变种anhf运行时，强行篡改注册表，将IE浏览器首页设置为骇客指定站点，致使用户一打开浏览器窗口便连接骇客指定站点，增加某网站的访问量。在被感染计算机的后台秘密窃取用户当前所使用的系统的配置信息，发送到统计站点上。然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。另外，“代理木马”变种anhf会通过修改系统注册表的方式来实现木马下载器开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    6、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。