caobin

10月20日,公安部公共信息网络安全监察局、国家计算机病毒应急与处理中心召开2008年全国信息网络安全状况暨计算机病毒疫情调查报告发布会，大会还对第29届奥运信息网络安全应急工作优秀单位和个人进行了表彰，江民科技等8家单位获得了优秀单位称号，严绍文等6人获得了先进个人表彰。

    今年5月，公安部公共信息网络安全监察局举办了2008年度全国信息网络安全状况暨计算病毒疫情调查活动。12000余家信息网络使用单位和计算机用户参加了调查活动，调查显示，我国信息网络安全事件发生比例继前3年连续增长后，今年略有下降，信息网络安全事件发生比例为62.7%，说明我国互联网安全状况稍有好转。但多次发生网络安全事件的比例为50%，多次感染病毒的比例为66.8%，说明我国互联网用户的网络安全意识仍比较薄弱。在发生安全事件的类型中，感染计算机病毒、蠕虫和木马程度依然十分突出，占70%，其次是网络攻击和端口扫描（27%）、网页篡改（23%）和垃圾邮件（22%）。攻击或病毒传播源来自内部人员的比例同比增加了21%；涉及外部人员的同比减少了18%，说明联网单位对外部网络攻击防范的意识有所增强，但单位内部的网络安全管理工作还不到位。网络（系统）管理员通过技术监测主动发现网络安全事件的占66.28%，同比增加了13%，说明网络（系统）管理员安全技术水平有所提高；而通过安全产品发现的比例同比减少了8%，原因是目前计算机病毒、木马等绕过安全产品的发现、查杀甚至破坏安全产品的能力增强了。未修补网络安全漏洞仍然是导致安全事件的最主要原因（54.63%）,同比上升了5%。21%的被调查单位建立了安全组织,同比上升了7%,说明各单位对网络安全越来越重视。

   2007年5月至2008年9月奥运结束，全国没有发生大范围计算机病毒疫情。网络用户密码被盗同比增加了4.5%；病毒通过移动存储介质传播的比例下降了14%，说明用户防范移动存储介质传播病毒的意识有所增强；但通过网络浏览下载感染病毒的比例却大幅增加了44%，主要原因因为互联网站被大量“挂马”，这已成为病毒木马传播的主要方式。公安机关提醒网络用户，应加强网络安全防范技术措施，及时打补丁消除安全漏洞，警惕网站“挂马”。

    针对网络“挂马”猖獗、计算机病毒肆虐等情况，为确保奥运期间互联网信息安全，公安机关网监部门奥运期间在全国开展了集中打击利用计算机病毒、木马进行网上盗窃、网上诈骗专项行动，破获了制作、贩卖“大小姐”木马等系列重大案件，有力打击了贩卖计算机病毒木马违法犯罪活动的猖獗势头，实现了奥运期间互联网络平稳运行的目标。

    公安部公共信息网络安全监察局副局长邓宏敏、天津市公安局副局长李玉环、公安部公共信息网络安全监察局副处长任军、国家计算机病毒应急与处理中心王吉树主任等领导参加了发布会并发言。邓宏敏副局长等领导为第29届北京奥运会信息网络安全应急工作优秀单位和个人颁发了奖牌。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/VB.Small.aho“小不点”变种aho和Worm/AutoRun.cnk“U盘寄生虫”变种cnk值得关注。

英文名称：Trojan/VB.Small.aho
中文名称：“小不点”变种aho
病毒长度：35087字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/VB.Small.aho“小不点”变种aho是“小不点”木马家族中的最新成员之一，采用VB语言编写，并且经过加壳保护处理。“小不点”变种aho运行后，在被感染计算机系统的“c:\temp\”目录下释放病毒组件文件“killvv.sys”和“*.exe”（文件名随机生成）。在被感染计算机系统的“%SystemRoot%\”和“%SystemRoot%\system32\”目录下分别释放恶意组件“yuiabct.exe”和“yuiabct.dll”。修改注册表，实现木马开机自动运行。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现某些安全软件进程存在便会尝试结束其进程。利用进程映像劫持功能来阻止某些安全软件的启动，达到自我保护的目的。“小不点”变种aho释放出来的恶意DLL组件“yuiabct.dll”是一个专门盗取网络游戏“奇迹世界Online”和“魔兽世界Online”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来一定程度的损失。

英文名称：Worm/AutoRun.cnk
中文名称：“U盘寄生虫”变种cnk
病毒长度：15872字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.cnk“U盘寄生虫”变种cnk是“U盘寄生虫”蠕虫家族的最新成员之一，采用“Microsoft Visual C++”编写，并且经过加壳保护处理。“U盘寄生虫”变种cnk运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的窗口（如“专杀”、“防火墙”、“杀毒”等），便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。遍历当前系统中的所有进程，一旦发现某些安全软件进程存在，便会尝试结束其进程，达到自我保护的目的。强行删除注册表相关项，达到破坏被感染计算机系统安全模式的目的。“U盘寄生虫”变种cnk会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”和病毒主程序文件“TG.PIF”（“U盘寄生虫”变种cnk），实现双击盘符启动“U盘寄生虫”变种cnk运行，从而利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播，给计算机用户带来潜在的威胁。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://m.*c*5.com/dd/”，下载恶意程序“x.gif”、“1.exe”、“2.exe”、“3.exe”、“4.exe”、“5.exe”、“6.exe”、“7.exe”、“8.exe”、“9.exe”、“10.exe”、“15.exe”并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来不同程度的损失。另外，“U盘寄生虫”变种cnk会通过在被感染计算机系统“启动”文件夹中创建病毒主程序文件的方式来实现蠕虫开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

也许很多人对ROOTKIT不是很熟悉，但是我作为公司的网络管理者，对这种技术是太熟悉了。现在越来越多的病毒利用ROOTKIT技术来隐藏自身，然后利用Hook技术破坏系统文件，防止被安全软件所查杀。
   
   有的人可能不知道什么是ROOTKIT，什么是Hook，其实说白了就是病毒为了逃过杀毒软件的查杀而用的小伎俩，目前虽然很多杀软都在努力的提高技术来查杀，但是效果不是很明显，因为病毒在不断的变种，软件都是后来升级。前些天听说kv2009上市了，听朋友说kv2009应用了反病毒Rootkit、反病毒Hook技术，我一直对这些东西都是很感兴趣的，就买了一套09来试下。

   我发现kv2009的反病毒Rootkit技术能够检测出深藏的病毒文件、进程、注册表键值，并能够阻止病毒利用Hook技术破坏系统文件，接管病毒钩子，这样它就把病毒防御在系统之外，连注册表都进不了，还不错总算没白花钱。江民在国产杀软中是最早开始做杀毒的，但是也是最低调的，它一直在默默的研究着新技术，提高杀毒能力，防御病毒的能力，我觉得这就是一个杀软公司应该有的态度，但是如果有了新技术的研发就不应该再低调，让用户更深的了解软件，才能让你走的更远。

    现在很多使用杀软的人都不是很懂电脑或者安全，因为懂的人一般都不使用杀毒软件，所以使用杀软的都是些对电脑不太懂的。这样，新技术的使用能让我们用户更简单明了的使用杀软，保护电脑的安全。

caobin

江民今日提醒您注意：在今天的病毒中Packed.Krap.z“卡拉蜜”变种z和Rootkit.Vanti.fzh“顽梯”变种fzh值得关注。

英文名称：Packed.Krap.z
中文名称：“卡拉蜜”变种z
病毒长度：145814字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Krap.z“卡拉蜜”变种z是“卡拉蜜”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“卡拉蜜”变种z运行后，自我复制到被感染计算机系统的“%SystemRoot%\Help\”目录下，并重新命名为“EB6C4499B05F.exe”，文件属性设置为：系统、隐藏、存档。在被感染计算机系统的“%SystemRoot%\Help\”目录下释放一个恶意DLL功能组件“EB6C4499B05F.dll”，将其插入到被感染计算机系统“explorer.exe”等用户级权限的进程中加载运行，并在后台执行相应的恶意操作，隐藏自我，防止被查杀。“卡拉蜜”变种z会在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警报”、“网页”）便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。强行篡改系统日期，利用某些安全软件存在的“时间判断”缺陷使其保护功能失效，进而达到自我保护的目的。“卡拉蜜”变种z可盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏的会员账号，会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来一定程度的损失。同时，该木马还会窃取用户“雅虎通（Yahoo! Messenger）”和“Yahoo奇魔”的账号信息，并在后台发送到骇客指定的远程服务器站点上。“卡拉蜜”变种z具有自动更新功能，连接指定站点进行自动升级。另外，“卡拉蜜”变种z会通过修改系统注册表的方式来实现木马开机自启动。

英文名称：Rootkit.Vanti.fzh
中文名称：“顽梯”变种fzh
病毒长度：9056字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Vanti.fzh“顽梯”变种fzh是“顽梯”木马家族中的最新成员之一，采用内核级Rootkit技术来实现隐藏自我，未经过加密保护处理。“顽梯”变种fzh在用户计算机系统中安装注册运行后，利用高级的Rootkit技术（内核级的钩子“SSDT HOOK”与“FSD HOOK”）隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息，防止被安全软件和用户查杀，达到更好的隐蔽效果。其中，该恶意驱动程序属于某病毒整体中的一个功能模块，伴随该恶意驱动程序的出现，还会有其它恶意功能模块也一同被安装到系统中。用户计算机系统一旦感染该病毒，则很难清除干净。另外，“顽梯”变种fzh会通过在被感染计算机中注册系统服务的方式来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    6、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

江民今日提醒您注意：在今天的病毒中Packed.Krap.aa“卡拉蜜”变种aa和TrojanDownloader.BHO.bs“BHO劫持者”变种bs值得关注。

英文名称：Packed.Krap.aa
中文名称：“卡拉蜜”变种aa
病毒长度：142577字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Krap.aa“卡拉蜜”变种aa是“卡拉蜜”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“卡拉蜜”变种aa运行后，自我复制到被感染计算机系统的“%SystemRoot%\Help\”目录下，并重新命名为“B41346EFA848.exe”，文件属性设置为系统、隐藏、存档。修改注册表，实现木马开机自动运行。在被感染计算机系统的“%SystemRoot%\Help\”目录下释放一个恶意DLL功能组件“B41346EFA848.dll”，并将其插入到被感染计算机系统“explorer.exe”等用户级权限的进程中加载运行，在后台执行恶意操作，隐藏自我，防止被查杀。在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串（如“安全警报”）的窗口，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。强行篡改系统日期，利用某些安全软件存在的“时间判断”缺陷使其保护功能失效，进而达到自我保护的目的。在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程站点上（地址加密存放），给游戏玩家带来一定程度的损失。同时，该木马还会窃取用户“雅虎通（Yahoo! Messenger）”和“Yahoo奇魔”的账号资料，并在后台将其发送到骇客指定远程服务器站点上。另外，“卡拉蜜”变种aa还能够自升级。

英文名称：TrojanDownloader.BHO.bs
中文名称：“BHO劫持者”变种bs
病毒长度：196096字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.BHO.bs“BHO劫持者”变种bs是“BHO劫持者”木马下载器家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该木马是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“BHO劫持者”变种bs运行时，秘密连接骇客指定的服务器站点，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。在被感染计算机系统中将自身注册为BHO（浏览器辅助对象），实现木马下载器随IE浏览器的启动而加载运行。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://m*dl.*cn*t1*3.cn/”，下载恶意程序“mydlset.exe”并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    5、江民杀毒软件能够检测并自动修复系统漏洞，阻止病毒通过漏洞传播。
    6、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打好了坚实的基础和前提。
    7、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，并可以自动搜集恶意网页加入特征库，阻止了网页木马的传播，有效保障用户上网安全。
    8、选择具备“网页防马墙”功能的杀毒软件（如KV2009），每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

许多情况下，系统好像中毒一样出现各种异常情况，但是杀毒软件一遍遍的扫描一遍遍的升级再扫描，却始终没有发现病毒的影子，如果你是计算机方面的菜鸟，这时你是不是有些不知所措呢？你会向高手求助吗？其实这时你可以把你的系统情况使用工具如SREng生成一个扫描报告（即把你系统的安全方面的情况通过工具扫描后告诉给高手），让高手帮你分析一下～
    KV2008不仅仅增强了自我保护、提供了智能主动防御病毒、针对误杀融入了灾难恢复，还为我们提供了功能非常强大的安全辅助工具，例如进程查看器、系统诊断，其功能几乎可以与专业的冰刃、SREng等工具相媲美，有了这些再也不用去网上到处下载这些工具了，有了KV2008，你机器中多余的安全辅助工具就可以扔掉啦～

    进程查看器已经有高手写过了，下面先让我们来看一看江民为我们提供的系统诊断功能，看是不是和SREng功能一样强大，下面跟我一起来体验吧～
我们打开江民的主界面，单击“系统安全”－“系统诊断”，即可打开“江民杀毒软件系统诊断”，如图1所示



“江民杀毒软件系统诊断”，从界面上看，我们对比一下SREng，发现江民的扫描功能的选项比较全，基本上已经包括了SREng的全部功能模块，最人性化的是扫描时还显示出来要检测的内容，而SREng仅能在扫描完成后才会显示出来～

点击系统诊断界面上“设置”按钮，可以调出“江民杀毒软件系统诊断”选项，在这里勾选我们需要扫描的项目
* 建议全部勾选，因为隐藏文件和隐藏注册表扫描目标都使用默认目标．

我们设置完选项后，在“江民杀毒系统诊断”界面，我们选择“全部”会自动开始扫描，如果没有自动开始，请单击“重新扫描”按钮。
接下来休息一下，喝杯茶等待KV2008为你的系统诊断吧～

OK,我们看到扫描完成了，我们已经看到江民从系统安全的各方面详细的分析了系统的情况（系统诊断功能是不会收集用户隐私信息的），而且很智能地用不同的颜色表示出安全级别：红色代表危险、灰色代表文件不存在、黄色代表可疑，并且会把可疑的选项自动上报，所以如果你看不懂生成的报告，最好不要随便进行删除操作。我们可以这些诊断结果导出来生成报告发到江民论坛，会有专业的人员为我们分析的，到时我们只需按照高手的意见对其进行处理即可清除未知病毒～。单击“导出报告”，可能考虑到之前用户可能会对诊断结果做出修改，为了保证导出结果的即时性准确性，所以江民会再次扫描，所以接下来仍然需要等待一会儿：

OK,已经扫描完成，我们可以上论坛求助，也可以将诊断结果保存起来，这里我们选择“保存文件”，将结果保存起来，然后再上江民论坛发个求助帖吧，不用多久你就可以根据在专业人士的指点下清除病毒了～

caobin

很多时候，一些只在系统崩溃，或弹出许多陌生页面之后，才急忙去杀毒进行处理，但此时多是已经晚矣，因为你的系统已经受到摧残，或许信息已经丢失。因为现在很多针对ＱＱ、网游的盗号木马，侵入你的系统后第一件事，就是窃取你的密码，所以，必须要防重于杀。那么，怎样才能有效防住病毒呢?
    1.启动实时监控。有很多人，嫌杀毒软件的实时监控占资源，往往关闭其功能，其实这是一个误区。一般的杀毒软件都只占用有限的资源，像江民杀毒软件只占用13MB左右，对于系统运行速度的影响很小。所以，我们不仅应当设置为开机时自动启动监视程序，而且还要确保监视程序持续有效运行。

2.打开实时防御。如今病毒层出不穷，如果一种病毒在病毒库没有样本信息，将很有可能越过实时监控的防护。但一个病毒要想作祟，就得要进行修改注册表、注入系统进程等一些相关动作。实时防御就是要保护注册表不受修改，保障每个软件启动时不受恶意进程影响。如果你打开实时防御，当有一个程序要做这些动作时，江民杀毒软件就会提示，并且还有明显的警告级别帮助你选择是否允许。一个病毒和木马如果不能修改注册表，或不能随系统和其它软件启动，其危害就会降低很多。同时，因为暴露了行踪，我们甚至可以手工删除它。

3.经常修补漏洞。再好的操作系统或是应用软件都会有漏洞。Windows、IE、Flash、realplayer、讯雷、暴风影音，这些都有漏洞曾经被病毒、木马所利用。当然，这当中windows和IE的漏洞应该是我们最关注的，像被冲击波利用的漏洞，还有著名的ani漏洞等等。不打上补丁，再好的杀毒软件也防不住病毒的入侵。那这些补丁上哪找呢！不用怕，江民杀毒软件专门提供了漏洞修补工具。利用它，就可以修补已有windows和IE的漏洞。另外，windows的老问题，如默认共享隐患也可以利用这个修补工具加以消除。这样，体质健康的系统自然不易被侵害。当然，多到江民网站了解一些常用软件的漏洞信息也是很有必要的，而这些常用软件的漏洞，只要升级到最新版往往就可以解决问题。

4.做好数据备份。不怕一万，就怕万一。数据往往是安全工作的核心部分，必须确保其绝对可靠和安全。一般企业级的数据都会利用磁盘镜像等专业手段来进行备份和处理。可往往我们的常用机器没有这些条件，只能想别的途径和办法。首先，应该习惯将重要的数据经常备份到Ｕ盘或光盘上，以便不时之需。然后，应该安装一些数据备份和恢复软件，例如江民杀毒软件kv2008里配套的系统灾难一键恢复软件，可以在系统崩溃无法进入的情况下，一键恢复系统，无论是恶性病毒破坏或电脑用户误删除系统文件，都可轻松还原系统到无毒状态或正常状态。

5.拒绝恶意网站。现在有很多网站利用一些不健康的东西来吸引人们点击，而在背后，会把黑手伸进用户的电脑。对此，我们一定要加以防范，拒绝恶意网站。但怎样才能做到一点呢？首先，要有一个恶意网站列表目录。在这里推荐使用《电脑报》的host反黑文件列表，这当中收录了大部分常见的恶意网站域名和IP地址，当然也可以自己添加。然后使用kv2008的恶意网址过滤功能，在黑名单中将恶意网站列表输入进去，

这样就可以有效的进行防范。在江民社区，有朋已将恶意网站列表编辑为可以直接导入的rdb文件了，使用起来更加方便（链接地址：http://forum.jiangmin.com/dispbbs.asp?boardID=10&ID=477345）。还有一种方式更加严格，就是将允许上网的网站地址添加到白名单中，再将网址过滤的条件设置为“只允许访问白名单中的网址”，这样除了设定的网站，其它网站将都禁止登陆，这种方式适合像服务器等比较重要电脑使用。
6.慎用移动存储。现在移动存储设备相当流行，各种各样的U盘、存储卡以容量大、携带方便而深受大家喜爱。但同时，这又为病毒生存毒传播提供了条件和途径。如“著名”的auto病毒就是利用U盘来进行传播的，并以难以杀死、灭绝的姿态长期位于病毒预警首位。这其中很大的原因，就是在于大家在使用移动存储设备时不慎重。要想有效防范这类病毒，要从三个方面入手。首先要利用kv2008的“移动存储设备的密码保护”功能，禁止所有未经本人允许而随意乱接入移动存储设备的行为，以减少被病毒感染的机会。

其次，要利用windows的“组策略”关闭掉“自动播放功能”，让移动存储设备中的病毒无法自动激活和传播。最后，自己的移动存储设备，在不需要写入数据的情况下，尽量让其处于写保护状态，以避免病毒入侵。另外补充一点，在打开移动存储设备时，尽量使用windows资源管理器来进行，点击其文件夹树中“+”号来展开文件夹目录和文件，会最大限度地减少激活病毒的机会。

caobin

江民今日提醒您注意：在今天的病毒中TrojanDownloader.ACVE.j“反杀者”变种j和I-Worm.Joleee/i“驻邮虫”变种i值得关注。

英文名称：TrojanDownloader.ACVE.j
中文名称：“反杀者”变种j
病毒长度：23757字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.ACVE.j“反杀者”变种j是“反杀者”木马下载器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“反杀者”变种j运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“woauolt.exe”。修改注册表，实现“反杀者”变种j开机自动运行。在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放病毒文件“doscmda.dll”、“wbosakji.sys”。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现某些与安全相关的进程便会尝试结束其进程，试图将其关闭。利用进程映像劫持功能，试图屏蔽用户系统中某些安全软件的运行；利用域名映像劫持功能，在被感染计算机的后台强行篡改系统的Hosts文件，屏蔽某些安全站点，阻止用户对这些安全网站的访问，从而达到自己保护的目的。“反杀者”变种j还会在被感染计算机系统的后台连接骇客指定远程服务器站点，获取配置文件“o.jpg”，根据该文件中的设置执行相应的恶意操作。“反杀者”变种j还会在被感染计算机系统的后台连接骇客指定远程服务器站点，发送统计信息。另外，“反杀者”变种j主程序在被感染计算机系统中安装完毕后会将自身的安装程序删除掉，达到消除痕迹的目的。

英文名称：I-Worm/Joleee.i
中文名称：“驻邮虫”变种i
病毒长度：40448字节
病毒类型：网络蠕虫
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
I-Worm.Joleee/i“驻邮虫”变种i是“驻邮虫”蠕虫家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“驻邮虫”变种i隐藏在被感染计算机系统的“%SystemRoot%\”目录下，把自身伪装成系统进程名“services.exe”，防止被用户发现。在被感染计算机系统注册表启动项中添加键值，实现网络蠕虫开机自动运行。“驻邮虫”变种i具有读文件和写文件的功能，可能会在被感染计算机系统的后台窃取用户机密信息等，给用户的计算机安全带来一定的威胁。另外，“驻邮虫”变种i还可能会通过电子邮件进行自我传播，从被感染计算机上搜索有效的邮箱地址，利用被感染计算机群发带毒邮件。

caobin

江民今日提醒您注意：在今天的病毒中Worm/Downloader.pd“桌面幽灵”变种pd和Trojan/PSW.LdPinch.mrm“窃贼Ld”变种mrm值得关注。

英文名称：Worm/Downloader.pd
中文名称：“桌面幽灵”变种pd
病毒长度：21153字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Downloader.pd“桌面幽灵”变种pd是“桌面幽灵”蠕虫家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。“桌面幽灵”变种pd运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“1EXPL0RE.EXE”，文件属性设置为系统、隐藏、存档。“桌面幽灵”变种pd运行时，会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://www.b*id*o.com/”，下载恶意程序“*.exe”（*表示数字1-40）并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。利用进程映像劫持功能，试图屏蔽被感染计算机上某些安全软件的运行。在被感染计算机的系统盘根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件“explorer.pif”（“桌面幽灵”变种pd），实现双击系统盘后“桌面幽灵”变种pd自动运行，给计算机用户带来潜在的威胁。在被感染计算机系统的后台连接骇客指定远程服务器站点“http://www.b*id*o.com/tj.htm”，发送统计信息。另外，“桌面幽灵”变种pd还会通过修改注册表的方式来实现蠕虫开机自启动。

英文名称：Trojan/PSW.LdPinch.mrm
中文名称：“窃贼Ld”变种mrm
病毒长度：43008字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.LdPinch.mrm“窃贼Ld”变种mrm是“窃贼Ld”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“窃贼Ld”变种mrm运行后，自我复制到被感染计算机系统的指定目录下，并重新命名保存。修改注册表，实现木马开机自动运行。“窃贼Ld”变种mrm是一个专门盗取网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。

caobin

转自江民科技官方网站
上周新装了一台双核电脑，在选择杀毒软件的时候，刚好看到江民杀毒软件推出五年版，价格也不贵，于是就买了一套。使用一周了，也想说说自己对这款软件使用的体会。

   对于笔者现在使用的这套5年服务期的KV2009，笔者觉得用“不同凡响”一词，应该是比较贴切的概括。接下来结合笔者近一段时间的体验，就江民KV2009的一些使用心得和技巧，跟大家进行一番分享

图1　江民KV2009全新豪华界面

　　一、软件安装时的“细节”
　　江民KV2009采用的是标准程式化安装，用户只要一路单击“下一步”按钮即可快速完成软件安装，这个用户不会感到任何困难。在完成安装后，软件会接着自动弹出一个“江民安装设置向导”窗口，一般情况下用户只要直接使用软件默认的配置参数即可，不过这里有两个“细节”地方笔者想说明一下：
   一是安装设置向导中有一个被默认选中的“对于不能清除的病毒，删除这个带毒的文件”选项，笔者觉得为了防止误删正常文件，该选项用户还是取消选中比较好，一方面江民KV2009在全球拥有最完善、最快捷的完整病毒监测和响应体系，软件又同时拥有包括启发式扫描、“沙盒”、虚拟机脱壳、自我保护、反病毒Rootkit/HOOK、“云安全”防毒等在内的众多核心杀毒技术，“不能清除的病毒”几乎微乎其微；另一方面即便是遇到了未知病毒或顽固病毒，用户也可以使用江民KV2009所独有的“互联网安检通道”功能来实时连接到江民服务器进行进一步病毒身份验证，杀毒品质完全可以得到保证（如图2）。

图2　用户可选择修改部分“安装设置”

　　小提示：
　　如果用户在安装时没有调整这个设置选项，则还可以在江民KV2009使用过程中的任何时候，进入“江民设置程序”对话框的“扫描选项”选项卡，在那里同样可以更改设置。

    二同样是在安装设置向导中，有一个“上网使用的浏览器”配置选项，这里用户如果是使用了包含IE内核的IE、傲游或世界之窗等浏览器，则可以使用软件默认的“我使用windows自带的Internet Explorer”选项，用户如果使用的是非IE内核的浏览器，则就需要更改选择“我使用其它浏览器”选项了。用户正确配置以后，江民KV2009会自动对用户浏览器上网进行全程的安全监控，主动防御网页病毒及网页挂马（如图3）。

图3　“安装设置向导”中配置浏览器类型

　　二、软件监视时的“细节”
用户第一次使用江民KV2009时，首先可以将软件界面切换到“监视”面板，软件默认开启了文件监视、邮件监视和网页监视，但是还有“即时通信”和“脚本监视”两项实时监控功能默认情况下并没有开启，这里建议用户手工开启它们，开启的方法是用户在相应监视项目右侧的“操作”栏中点击一下“打开”按钮即可，这样江民KV2009会更加全方位的自动即时拦截一切可能对用户带来损害的入侵，使江民KV2009的安全保护更加干净彻底。当然，如果用户很少用QQ或MSN这样的即时通信软件，用户不开启“即时通信”监视也是可以的，不过这种朋友现如今肯定不多了（如图4）。

图4　所有实时监视项目被全部开启

　　三、主动防御时的“细节”
　　主动防御历来是江民KV系列杀毒软件的核心功能之一，在同类杀毒软件中一直掌握着最为核心的技术，本次全新推出的江民KV2009，其主动防御功能更是在目前全球最先进的“沙盒”技术的加盟下，整体性能又有了更大的跨越和提升。
　　与上面介绍的开启全部“监视”项目类似，用户第一次使用江民KV2009时，可以将软件界面切换到“主动防御”面板，在这里除了“未知病毒监控”组件处于开启状态外，软件默认条件下“系统监控”、“木马一扫光”及“漏洞检查”等三大组件并没有开启。
笔者觉得大家应该将它们全部开启，开启的方法是：用户打开KV2009的“江民设置程序”对话框，接着切换到“主动防御”选项卡，在其中选中上述的三个组件即可将它们全部开启了（如图5）。


图5　通过设置开启所有主动防御组件

    事实上这些都是江民KV2009主动防御功能的核心组件，都蕴含着江民科技在安全主动防御领域里的众多核心技术（如图6）。

图6　开启所有主动防御的实用组件

    接下来用户在软件主界面“主动防御”面板中单击“系统监控”栏最右侧的“参数设置”，即可发现江民KV2009最引人注目的“沙盒”技术就被设置在了这里。虽然同为防范未知病毒的杀毒技术，“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行；“沙盒”技术是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演，但是沙盒会记下他的每一个动作。在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态（如图7）。

图7　江民KV2009最引人注目的“沙盒”技术

    这里还需要特别提醒用户注意的是，江民KV2009在提供了运用“沙盒”技术的智能监控模式的同时，还提供了用户具有一定可操作性的规则监控模式来进行“系统监控”，当然这也是软件默认的一种监控模式。规则监控模式是允许用户通过定制，按照未知病毒包括创建文件、程序注入、运行程序、对系统内核操作、发送邮件、消息窃听、网络下载、修改系统时间、修改注册表等在内的一些病毒或木马的共性“行为”来综合判断所监控到的未知病毒究竟是否是真的病毒，这当然也是上一个版本江民KV2008最大的亮点功能之一（如图8）。

图8　定制规则监控模式的“规则”

　　四、设置程序时的“细节”
　　江民KV2009在其“江民设置程序”中提供了近百项很实用的细节定制功能，可以最大限度满足不同用户的个性需求，以及在不同安全级别需求下方便配置以个体为单位的整体安全防御方案。另外，在江民KV2009中，对于用户的所有个性定制，软件还支持将其整体导出备份，方便用户在系统重装或异地使用江民KV2009时即时导入，功能非常体贴。
　　在软件的众多定制功能中，用户可以仔细发现其选项配置特色，以求使个性定制发挥最大实效，这里笔者可以给大家举两个小例子：
　　1.用户将打开的“江民设置程序”对话框切换到“嵌入”选项卡，这里列出了不少实用软件，用户通过钩选可以将自己需要的应用程序“嵌入”到江民KV2009中，比如笔者平时都是使用FlashGet网际快车来下载资源的，所以笔者通过这种“嵌入”，就能轻松实现江民KV2009对FlashGet下载所有资源的自动病毒检测，既快捷又安全（如图9）。

图9　通过嵌入FlashGet下载资源更安全

　　2.大家知道，别人将U盘、移动硬盘及MP3等移动存储设备随便连接到自己的电脑，如果这些移动存储设备本身带毒，则非常容易和被连入的电脑形成交叉感染。其实在“江民设置程序”的“保护密码”选项卡中，就有一个很好的对所有移动存储设备的限制措施。
　　用户进入该选项卡，选中其中的“移动设备存储”选项，接着在其右侧设定一个限制密码，以后只有能够正确输入限制密码的合法用户，电脑才能被允许读取移动设备中的相关信息，这样江民KV2009就又成功封死了一个可能对用户电脑带来侵害的病毒传播途径（如图10）。

图10　KV2009限制U盘等移动设备带毒入侵

　　总体而言，广受注目的全新江民KV2009无论是核心技术还是服务品质，都是一次前所未有的脱胎换骨。面对当前日益严峻和日趋复杂的网络安全形式，江民KV2009将融入了虚拟机、启发式、“沙盒”等技术的“云安全”防毒系统与三大未知病毒防杀技术的有机融合，可以为用户提供从“已知病毒的迅速响应到未知病毒的立体防杀”这一无间隙的安全防范体系。而江民科技充满自信的五年服务期更是给我们每一个网络用户吃下了最大的一颗“定心丸”。