caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.Pophot.cho“焦点间谍”变种cho和Trojan/PSW.QQShou.ib“QQ秀”变种ib值得关注。

英文名称：TrojanSpy.Pophot.cho
中文名称：“焦点间谍”变种cho
病毒长度：79607字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.cho“焦点间谍”变种cho是“焦点间谍”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“焦点间谍”变种cho运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时，还会在相同目录与“%SystemRoot%\”目录下分别释放多个恶意DLL功能组件和配置文件。创建IE浏览器进程并将病毒文件注入其中加载运行，以实现更好的自我隐藏。修改注册表，实现木马的开机自动运行。在后台遍历当前系统的所有进程，如果发现指定安全软件存在时，便会尝试以多种方式将其结束，从而达到自我保护的目的。同时，该木马所释放的功能组件还可以通过鼠标模拟自动选择一些安全软件所弹出警示窗口的“允许”、“放行”等按钮，防止了病毒的恶意行为被安全软件所阻截。“焦点间谍”变种cho还会在后台连接骇客指定的URL“http://c*.*4s.com/cc.txt”，从中读取配置信息，并按照其中的设置进行网络攻击、木马下载的操作，致使被感染计算机用户受到更多不同程度的威胁，同时也影响了互联网的整体安全环境。另外，在“焦点间谍”变种cho木马及其释放的组件中，大量的数据、配置信息及所需调用的函数名都经过了二次加密处理，这样可以更好的达到逃避杀毒软件特征码检测、提高病毒自身生存几率的目的。

英文名称：Trojan/PSW.QQShou.ib
中文名称：“QQ秀”变种ib
病毒长度：45568字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.ib“QQ秀”变种ib是“QQ秀”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0 MFC”编写，并且经过加壳保护处理。“QQ秀”变种ib是一个木马生成器，用于生成盗取即时聊天工具“腾讯QQ”用户名和密码的木马病毒。其生成的木马可以在被感染计算机的后台秘密监视“腾讯QQ”的登陆窗口，然后利用键盘钩子、内存截取或封包截取等技术盗取QQ的账户信息，并在后台将窃取到的信息发送到骇客的指定邮箱中，给QQ用户造成了不同程度的财产损失，侵害了用户的合法权益。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Element.e“毒素”变种e和Trojan/PSW.Agent.gqy“代理木马”变种gqy值得关注。

英文名称：Trojan/PSW.Element.e
中文名称：“毒素”变种e
病毒长度：18432字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Element.e“毒素”变种e是“毒素”木马家族中的最新成员之一，采用高级语言编写，未经过添加保护壳处理。“毒素”变种e是由其它恶意程序释放出来的DLL功能组件，通过插入到“explorer.exe”和“csrss.exe”进程中加载运行。运行后，会在被感染计算机的后台秘密监视用户系统中所运行着的进程，如果发现“魔域”网络游戏的进程存在时，则会通过内存截取或键盘监视等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。同时，该病毒还会在被感染计算机的系统目录中释放一个配置文件，并且删除其它病毒所创建的一些文件。另外，“毒素”变种e由设置在注册表中的启动项实现开机加载运行。

英文名称：Trojan/PSW.Agent.gqy
中文名称：“代理木马”变种gqy
病毒长度：29184字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.gqy“代理木马”变种gqy是“代理木马”木马家族中的最新成员之一，采用Delphi语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“代理木马”变种gqy是一个专门盗取“R2”网络游戏会员账号的木马程序，通过插入“explorer.exe”等几乎所有用户级权限的进程中加载运行。如果该组件所插入的进程为“r2client.exe”（R2网游客户端），则利用消息钩子和内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://www.70***50.cn/go/”（地址加密存放）中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“代理木马”变种gqy还具有删除指定系统文件“%SystemRoot%\system32\verclsid.exe”和下载病毒配置文件等行为，破坏了计算机系统的完整性，干扰了系统的正常运行。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.n“斯莱德”变种n和Trojan/PSW.QQHX.b“QQ华夏贼”变种b值得关注。

英文名称：Trojan/Slefdel.n
中文名称：“斯莱德”变种n
病毒长度：185856字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.n“斯莱德”变种n是“斯莱德”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种n运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名为“F_Server.EXE”，同时，还会在相同目录中释放一个DLL后门模块“F_Server.DLL”。在被感染计算机中自我注册一个系统服务，实现“斯莱德”变种n的开机自启动。“斯莱德”变种n在被感染计算机系统中安装完毕后，会将运行病毒副本，同时在系统目录下创建批处理文件“Deleteme.bat”，删除自我，从而达到消除痕迹的目的。“斯莱德”变种n在运行后，会创建IE浏览器进程，并将后门模块“F_Server.dll”注入其中运行。该后门模块运行后会连接骇客指定的URL“http://b****2.xicp.net:8088/IP.TXT”，并反向连接其中指定的IP地址，向其提供后门服务，使被感染的主机成为受人所控的傀儡。骇客可以通过该后门模块对被感染的主机进行任意的远程操作，其中包括“文件操作”、“注册表操作”、“屏幕监控”、“键盘监听”、“摄像头抓图”、“命令执行”等，严重的威胁了被感染计算机的信息安全和用户个人隐私，甚至可能会对商业机密造成严重的侵害。同时，骇客还可以向被感染计算机传送大量的病毒、木马和流氓软件等，并且通过“斯莱德”变种n调用执行，致使被感染计算机的用户面临着更多不同程度的风险。

英文名称：Trojan/PSW.QQHX.b
中文名称：“QQ华夏贼”变种b
病毒长度：15360字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQHX.b“QQ华夏贼”变种b是“QQ华夏贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行隐藏自我的操作，以防止被用户和安全软件轻易发现、查杀。“QQ华夏贼”变种b是一个专门盗取“寻仙Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://219.***.***.176/xunzong/post.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失。同时，“QQ华夏贼”变种b还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染计算机上登陆游戏官网去找回游戏密码，否则玩家的密码保护资料也会一同被骇客所盗取，使网游玩家蒙受更大程度的损失。另外，“QQ华夏贼”变种b会通过在被感染计算机注册表启动项中添加键值的方式来实现木马的开机自启动。

caobin

现在进入KV2008的核心部分----病毒查杀。杀毒软件的杀毒能力是一项评价杀毒软件非常重要的指标，也是杀毒软件的核心部分。杀毒能力不足的杀毒软件就像一个只有空壳的人一样，没有实质的东西，当然这样的软件也不能称之为杀毒软件。通过实用，可以看出江民杀毒软件独自核心杀毒技术的有效性，而且它在多方面都胜过某些同类软件。下面就以蠕虫病毒“魔波”和木马“上兴”为例来阐述江民强大的反病毒能力。
    1.利剑斩“魔波”。“魔波”是利用微软的漏洞进行传播的蠕虫病毒，其破坏性不亚于当年的“冲击波”病毒，但是现在人们的防范意识逐渐提高，才导致“魔波”没有像当年的“冲击波”那样肆意扩散。但是“魔波”的攻击力依然不容小视，所以现在就用KV2008以“魔波”为例来斩杀强悍病毒。
    中了“魔波”病毒变种之后，病毒会在%systemroot%\system32目录中生成"wgareg.exe"病毒文件，并且会将自身加入系统服务中，使系统自带的“任务管理器”无法结束其进程。

经过在虚拟机上的病毒行为分析之后，传统查杀方法如下：右击“我的电脑”进入“计算机管理”中，选择“服务和应用程序”中的“服务”，选中病毒创建的服务"Windows Genuine Advantage Registration Service"，将其“启动类型”设置为“已禁用”，下次计算机启动的时候就不会加载该服务；再定位到%systemroot%\system32目录下，将"wgareg.exe"程序删除；最后进入注册表，将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wagreg键值全部删除即可

虽然这样可以杀除“魔波”病毒，但是对于很多计算机用户来说，毕竟还不是很容易。KV2008完全考虑到了这一点，使用其自带的“进程查看器”可以非常快捷、方便地查杀掉“魔波”病毒。
    打开KV2008，在菜单栏中选择“系统安全”，选择“进程查看器”，再定位到"wgareg.exe"这个进程上，可以清楚地看到，江民的“进程查看器”将"wgareg.exe"这个进程的危险度标记为80%。

这样可以明确的让用户判断一个进程是正常进程还是可疑进程。右击该进程，选择“结束进程”即可将该进程结束，之后进入该病毒的文件夹中，将其删除即可彻底查杀该病毒。值得一提的是，江民的“进程查看器”不仅仅是简单的结束一个可疑的进程，它还会将这个可疑进程的服务给关闭掉（这就是为什么系统自带的“任务管理器”无法结束掉“魔波”进程，而江民却可以的原因）。再进入%systemroot%\system32文件夹下将病毒文件删除，最后清理注册表即可。
    从这里可以看出，江民的杀毒能力堪称一流，即使是一款附带的“进程查看器”都有这样强大的功能，不难看出江民强悍的杀毒能力！

    2.利剑斩木马。木马在这个时代是越来越猖獗，灰鸽子、上兴、守望者、黑洞等等木马软件在网上横行霸道，给信息安全带来了极大的隐患。它们所使用的技术也是不断更新，有的使用系统文件名漏洞来隐藏自身，有的是使用与其它程序进行捆绑来隐藏自身，还有的使用Rootkit技术或是采用NTFS流隐藏技术等等……但不管病毒使用怎样的手段，江民杀毒软件都可以有效查杀这些木马！

    这里就以典型的“上兴”木马为例来介绍KV2008的反木马能力。
    如果中了最新的“上兴”木马之后，它会冒充iexplorer.exe和calc.exe进程（当然，对于不同的木马配置，这两个进程会有所改变），并且使用Rootkit隐藏这两个进程，在用户系统自带的“任务管理器”中是无法查出蛛丝马迹的。打开KV2008中的“进程查看器”立即就可以看见这两项进程


但是如果直接将其结束进程之后，并不会得到想要的结果，结束进程之后不一会儿它们的进程会再次启动。由此可以知道，“上兴”木马是使用双进程保护技术的，如果其中一个进程被结束了，而另一个进程就会立即检测到并且马上开启这个进程。经过分析确认“上兴”木马是使用系统服务将两个进程保护，导致江民的“进程查看器”无法将其结束。
    但是和上面的“魔波”同样是系统服务，为什么这次江民的“进程查看器”在结束进程之后没有自动关闭“上兴”的服务呢？分析之后认为，“上兴”木马是使用的进程插入技术，将自身插入到iexplorer.exe和calc.exe中，而作为系统自带的IE浏览器和“计算器”程序本身是没有系统服务的，所以即使是结束了iexplorer.exe和calc.exe也不能真正关闭幕后黑手的服务。因此，iexplorer.exe和calc.exe就会不断的被启动，并且相互保护对方的进程。

    既然“上兴”使用的是系统服务来保护自身，那么就可以找出“上兴”的服务，从而对症下药。单击“开始”菜单，选择“运行”（快捷键是Win+R），输入“msconfig.exe”（不含外边中文引号），打开“系统配置实用程序”，之后切换到“服务”选项卡，再将“隐藏所有的Microsoft服务”复选框选中，就可以清楚的看到哪些服务不是系统服务了。


很明显，"Windows_Rejoice2007_45"是一个非常可疑的服务，之后再右击“我的电脑”选择“管理”，进入“服务”，再找到"Windows_Rejoice2007_45"服务，将其“启动类型”设置为“已禁用”

再打开KV2008，打开“任务查看器”，将iexplorer.exe和calc.exe结束，最后进入Windows目录，将病毒删除即可。

    3.斩杀特殊目录中的病毒。有很多病毒利用系统文件路径漏洞来保护自己，比如Auto等一些顽固性病毒。这些病毒利用在Windows图像界面下没法进入带有非法字符的文件夹这一特点，使普通用户难以清除这类顽固性病毒。比如在D盘点Lab文件夹中有一个"Virus."的文件夹，双击打开之后就会出现错误的提示，

这样我们就无法进入这个文件夹中清除病毒了。

    但是KV2008却可以非常轻松地查杀这类利用系统文件路径漏洞的病毒，清理起来非常简单。直接扫描后杀毒就可以清除了，


路径，是D:\Lab\Virus.\wgareg.exe）。不仅如此，KV2008也可以直接查杀SYSTEM帐户控制的文件夹（通常情况下，这类文件夹是Administrator类型的帐户无法访问的），比如系统还原文件夹。不得不说KV2008的查杀能力之强大！

caobin

很多时候，一些只在系统崩溃，或弹出许多陌生页面之后，才急忙去杀毒进行处理，但此时多是已经晚矣，因为你的系统已经受到摧残，或许信息已经丢失。因为现在很多针对ＱＱ、网游的盗号木马，侵入你的系统后第一件事，就是窃取你的密码，所以，必须要防重于杀。那么，怎样才能有效防住病毒呢?
    1.启动实时监控。有很多人，嫌杀毒软件的实时监控占资源，往往关闭其功能，其实这是一个误区。一般的杀毒软件都只占用有限的资源，像江民杀毒软件只占用13MB左右，对于系统运行速度的影响很小。所以，我们不仅应当设置为开机时自动启动监视程序，而且还要确保监视程序持续有效运行。


2.打开实时防御。如今病毒层出不穷，如果一种病毒在病毒库没有样本信息，将很有可能越过实时监控的防护。但一个病毒要想作祟，就得要进行修改注册表、注入系统进程等一些相关动作。实时防御就是要保护注册表不受修改，保障每个软件启动时不受恶意进程影响。如果你打开实时防御，当有一个程序要做这些动作时，江民杀毒软件就会提示，并且还有明显的警告级别帮助你选择是否允许。一个病毒和木马如果不能修改注册表，或不能随系统和其它软件启动，其危害就会降低很多。同时，因为暴露了行踪，我们甚至可以手工删除它。

3.经常修补漏洞。再好的操作系统或是应用软件都会有漏洞。Windows、IE、Flash、realplayer、讯雷、暴风影音，这些都有漏洞曾经被病毒、木马所利用。当然，这当中windows和IE的漏洞应该是我们最关注的，像被冲击波利用的漏洞，还有著名的ani漏洞等等。不打上补丁，再好的杀毒软件也防不住病毒的入侵。那这些补丁上哪找呢！不用怕，江民杀毒软件专门提供了漏洞修补工具。利用它，就可以修补已有windows和IE的漏洞。另外，windows的老问题，如默认共享隐患也可以利用这个修补工具加以消除。这样，体质健康的系统自然不易被侵害。当然，多到江民网站了解一些常用软件的漏洞信息也是很有必要的，而这些常用软件的漏洞，只要升级到最新版往往就可以解决问题。

4.做好数据备份。不怕一万，就怕万一。数据往往是安全工作的核心部分，必须确保其绝对可靠和安全。一般企业级的数据都会利用磁盘镜像等专业手段来进行备份和处理。可往往我们的常用机器没有这些条件，只能想别的途径和办法。首先，应该习惯将重要的数据经常备份到Ｕ盘或光盘上，以便不时之需。然后，应该安装一些数据备份和恢复软件，例如江民杀毒软件kv2008里配套的系统灾难一键恢复软件，可以在系统崩溃无法进入的情况下，一键恢复系统，无论是恶性病毒破坏或电脑用户误删除系统文件，都可轻松还原系统到无毒状态或正常状态。

5.拒绝恶意网站。现在有很多网站利用一些不健康的东西来吸引人们点击，而在背后，会把黑手伸进用户的电脑。对此，我们一定要加以防范，拒绝恶意网站。但怎样才能做到一点呢？首先，要有一个恶意网站列表目录。在这里推荐使用《电脑报》的host反黑文件列表，这当中收录了大部分常见的恶意网站域名和IP地址，当然也可以自己添加。然后使用kv2008的恶意网址过滤功能，在黑名单中将恶意网站列表输入进去，

这样就可以有效的进行防范。在江民社区，有朋已将恶意网站列表编辑为可以直接导入的rdb文件了，使用起来更加方便（链接地址：http://forum.jiangmin.com/dispbbs.asp?boardID=10&ID=477345）。还有一种方式更加严格，就是将允许上网的网站地址添加到白名单中，再将网址过滤的条件设置为“只允许访问白名单中的网址”，这样除了设定的网站，其它网站将都禁止登陆，这种方式适合像服务器等比较重要电脑使用。

6.慎用移动存储。现在移动存储设备相当流行，各种各样的U盘、存储卡以容量大、携带方便而深受大家喜爱。但同时，这又为病毒生存毒传播提供了条件和途径。如“著名”的auto病毒就是利用U盘来进行传播的，并以难以杀死、灭绝的姿态长期位于病毒预警首位。这其中很大的原因，就是在于大家在使用移动存储设备时不慎重。要想有效防范这类病毒，要从三个方面入手。首先要利用kv2008的“移动存储设备的密码保护”功能，禁止所有未经本人允许而随意乱接入移动存储设备的行为，以减少被病毒感染的机会。

其次，要利用windows的“组策略”关闭掉“自动播放功能”，让移动存储设备中的病毒无法自动激活和传播。最后，自己的移动存储设备，在不需要写入数据的情况下，尽量让其处于写保护状态，以避免病毒入侵。另外补充一点，在打开移动存储设备时，尽量使用windows资源管理器来进行，点击其文件夹树中“+”号来展开文件夹目录和文件，会最大限度地减少激活病毒的机会。

    7.实时升级病毒库。每天都有越来越多的病毒出世，杀毒软件厂商也在不断地加速扩充病毒库。记得早期杀软的病毒库升级是利用报纸向用户传送“病毒特征码”来进行的，这说明一直以来都有要“升级病毒库”的概念。虽然现在利用互联网络，我们可以更方便地进行病毒库的升级。可是，现在很多人使用杀毒软件都不能及时升级病毒库，有的是因为懒得每天去点那个升级按钮，有的是因为事忙容易忘记，这就给新病毒以可趁之机。还好，现在的杀毒软件都推出了实时升级的概念，只要杀毒软件检测到病毒库有更新，就会自动联网升级，不需要人工参与。Kv2008可在升级设置中选择升级方式为“检测到更新后即升级”就可以确保病毒库会实时升级，保障电脑安全。

8.担心下载陷井。大到游戏，小到应用软件，我们每天都要从互联网上下载各种各样的文件、资料、图片、音乐、视频，很多病毒就可能潜伏其中。一方面，现在很多下载站点在“挂羊头卖狗肉”；另一方面，常用的下载软件“讯雷”最近也爆出多个高危漏洞；还有rmvb格式文件也有漏洞可钻，网络上出现了众多被“挂马”的视频。对此，我们首先要提高警惕，尽量到“华军软件园”、“天空软件站”之类大网站去下载；其次，要使用无漏洞的下载软件版本；最后，一定要打开杀毒软件的嵌入杀毒功能。像kv2008就可以嵌入flashget（快车）、netants（网络蚂蚁）、讯雷等下载软件之中，在文件下载完毕之后，马上自动对下载的文件进行扫描和杀毒操作，以确保系统安全。

9.注重局域网安全。网络越来越深入我们的生活，也成为了病毒感染的主要途径，特别是近期出现的一些局域网、arp病毒，只要网内一台机器感染，就会迅速传播到其它计算机。前一段时间，我重做一台机器的系统，由于装应用软件时不小心自动登陆互联网，而当时网内正有一台机器感染arp病毒并未被发觉，几秒钟之后，新装系统的机器立马被病毒侵袭。因此，局域网除需要对路由等设备严加管理之外，更需要在每台机器上安装具备防范arp病毒攻击的防火墙，如江民防火墙等，只需要简单设置就可以确保网络安全。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/Treemz.b“游戏托”变种b和Exploit.MS08-067.c“MS08-067漏洞利用者”变种c值得关注。

英文名称：Trojan/Treemz.b
中文名称：“游戏托”变种b
病毒长度：28672字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Treemz.b“游戏托”变种b是“游戏托”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“游戏托”变种b是一个专门盗取“QQ华夏Online”、“地下城与勇士Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“游戏托”变种b会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。

英文名称：Exploit.MS08-067.c
中文名称：“MS08-067漏洞利用者”变种c
病毒长度：16384字节
病毒类型：木马
危险级别：★★
Exploit.MS08-067.c“MS08-067漏洞利用者”变种c是一个利用微软MS08-067漏洞进行破坏性攻击的恶意工具。骇客会利用该工具向运行“Windows 2000”、“Windows XP”和“Windows Server 2003”等主流操作系统的计算机发送特制的“RPC”请求。如果目标计算机上存在该漏洞，骇客不经身份验证即可利用该漏洞在远程计算机上执行任意的恶意代码，导致用户的信息安全受到不同程度的威胁。同时，此工具还可以传播木马，一般会在被感染的计算机上秘密连接骇客指定的远程服务器站点“http://zz.ushea****art.com/download/”，下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。建议用户安装并合理配置防火墙，以保护网络资源免受不法分子的恶意攻击。并推荐使用江民安全杀毒软件中的“系统漏洞检查”功能对漏洞进行修补，以做到防患于未然。

caobin

进入网络时代，如果说病毒木马程序或损坏电脑硬件，或篡改删除重要数据资料足以让我们谈毒色变；那么不法分子疯狂盗取各种网络账号资源对我们的虚拟财富（如网络游戏账号密码、即时聊天程序账号密码、重要论坛账号密码）和现实财富（如网络银行账号密码、基金股票买卖账号密码）的行为就更让我们寝食难安了！那么，网络时代我们该如何保护自己的财富安全呢？我选择了江民密保！

一、我与江民密保的亲密接触
　　发现江民密保，是2007年初在使用江民杀毒软件KV2007光盘版安装江民杀毒软件时发现的！

因为当时的我既不玩网络游戏，也不网上炒股，认为自己的电脑中没有什么“密”可保，认为实用价值不大，所以当时对2007版江民密保并不以为意！5月中旬，我开始使用网上银行时考虑到网络财富的安全，便安装了江民密保，然而不知是2007版江民密保本身与江民杀毒软件兼容性不好还是江民密保软件本身的问题，安装江民密保后出现了“硬盘双击无法打开，系统程序全部锁死”等等问题，因未能找到好的方法解决只好卸载了密保，让江民杀毒软件一身兼二职。
   
    江民杀毒软件2008版问世后，发现在江民杀毒软件的安装程序中却找不到江民密保了！
    后来辗转在江民公司的网站中找到了下载连接（必须是江民正版用户哟）！http://dl.jiangmin.com/download/mib.htm，接下来便是下载——安装——设置——使用！这一用，还真喜欢2008版江民密保！



二、我对江民密保的三点感受
　　1.密码保护“我”说了算!
　　既然是密保，当然首先要用它保护密码安全了！打开江民密保主界面，在功能版块打开密码保护编辑，软件同时提供了默认保护和自定义保护两种模式！浏览了一下默认的保护对象，发现默认护对象除了QQ就是网络游戏，没有我需要保护的证券交易程序，于是点击浏览自定义保护对象——添加——浏览——描述信息，把我需要保护的证券交易程序添加到了自定义保护对象之中！


如果我们还需要添加其他密保默认保护对象中没有的保护对象，重新点击浏览自定义保护对象——添加——浏览——描述信息，添加更多保护的对象就可以了。
    添加了自定义的保护对象后，再运行已添加的保护对象时，江民密保自动将保护对象成功保护了！

2.网银辅助输入“谁的网银谁做主”！
　　网络时代，是一个商机无处不在的时代。如果有客人需要通过我们的电脑在网上炒股或使用网络银行而又担心网银密码被盗的话，江民密保的网银辅助输入功能就大显身手了。从密保点击网银辅助输入之编辑，就可以对网银辅助输入进行编辑了。

在这里只要创建一个用户名、两次输入相同的密码并点击注册就完成了网银辅助输入新用户的注册，然后登入——添加，在输入数据对话框中创建一个密码别名两次输入网银密码就完成了网银辅助输入的设置。当我们打开网络银行站点需要输入密码时（注意江民密保能够自动识别我们打开的网站是否为网络银行的官方站点），江民密保的网银辅助输入就会自动弹出，我们只要在这里使用已在江民密保中创建的网银辅助输入用户名和密码登入到江民密保中选择相应的密码点击后，网银密码就自动输入到了银行网站的网银登录密码框中。

3.你的网银密码我来记！
　　网银在给我们带来使用方便的同时，因为要防范破解与被盗，往往要根据不同用途、不同站点设置不同的密码，如网银的登录密码和取款交易密码等，然而密码多了，别人不容易破解，自己也不容易记住！当某个时候我们忘记了网银的登录密码怎么办呢？去问江民密保呀！
　　打开江民密保，点击功能版块的网银辅助输入——编辑进入用户登入界面，输入我们在这里设置的用户名和密码登入后，点击最下面的“显示/隐藏我的银行密码”，如果密码处于隐藏状态，点击就会显示，反之则隐藏！在这里我们还可以完成更改网银辅助输入的登入密码和注销用户！

综上所述，有了江民密保，真可谓密码安全不再忧，密码记忆不再愁！

caobin

一、什么是系统漏洞：
      系统漏洞即操作系统在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。  系统漏洞又称安全缺陷。
      对用户造成的不良后果如下所述：
      1.漏洞被恶意用户利用，会造成信息泄漏，如黑客攻击网站即可能是利用网络服务器操作系统的漏洞。
      2.对用户操作造成不便，如不明原因的死机和丢失文件等。
      3.出现蓝屏死机等现象
      若系统存在漏洞可能会频繁中病毒木马，如前期的ANI漏洞在未出补丁前很多用户都受过利用该漏洞的木马病毒折磨。

二、系统漏洞检查
       系统漏洞检查可对用户操作系统进行常规系统漏洞检查和弱口令检测，为用户提出修正建议和办法。江民公司会在最短的时间内将最新的补丁添加到系统漏洞补丁库中，用户通过升级即可更新到最新的补丁库，从而确保及时发现并修补所有的系统安全漏洞的目的。其使用方法如下：
   1.启动江民杀毒软件（方法很多，从程序，或右下角监控中心右键菜单等，不再详述）。
      2.点击工具 —— 系统漏洞检查菜单，即可启动系统漏洞检查程序。
     

用户若工具菜单中无系统漏洞检查项请作如下操作：
    （1）点击智能升级
    （2）弹出选择要升级的模块中点江民公用组件前的+号展开该类，
    （3）单击安全中心/系统检查前的方框，确认勾选上该项，
    （4）点击开始升级，升级完成后再看，OK，系统漏洞检查项出现了。
3.启动系统漏洞检查程序后，选中“系统漏洞检查”，单击检查按钮，
即开始对系统进行扫描，扫描完毕后，会以网页的形式将用户计算机中存在的漏洞显示出来，用户可直接在该网页中点击下载链接就可以下载对应的漏洞补丁，也可点击修复下载安装全部补丁。
：通过系统漏洞检查未发现漏洞后会提示：您的计算机暂时安全，请经常使用系统漏洞检查，确保您的计算机安全。
      建议至少每月进行一次系统漏洞检查

三、弱口令检查
       启动系统漏洞检查程序后，选中“弱口令检查”，单击检查按钮，KV2007即开始对系统中存在的弱口令用户进行扫描，扫描完毕后，会以网页的形式将弱口令用户显示出来，提醒用户修改口令。(和系统漏洞检查操作基本相同,不再附图)
       注：仅检查操作系统用户口令而不会检查邮箱帐号，QQ密码等。

附:什么是弱口令？
       弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。用户口令最好由字母、数字和符号混合组成，并且至少要达到8位的长度。

caobin

江民今日提醒您注意：在今天的病毒中TrojanDropper.Agent.pyx“代理木马”变种pyx和Worm/AutoRun.xb“U盘寄生虫”变种xb值得关注。

英文名称：TrojanDropper.Agent.pyx
中文名称：“代理木马”变种pyx
病毒长度：442368字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.pyx“代理木马”变种pyx是“代理木马”木马家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“代理木马”变种pyx运行后，会自我复制到被感染计算机系统的“%SYSTEMROOT%\system32\”目录下，并重新命名为“compbatc.exe”。同时，还会向系统文件夹中释放病毒文件，并设置这些病毒文件的时间属性为系统创建日期，以此来迷惑用户，防止用户通过文件时间来查找病毒文件。创建“svchost.exe”进程，将自身及病毒文件注入其中运行；之后将病毒自身进程结束，以达到隐蔽自我，防止被用户和安全软件轻易发现、查杀的目的。在被感染计算机中注册名为“compbatc”和“compbatcDrv”的系统服务，以此实现木马在开机后的自启动。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现指定的进程存在，便会以多种方式尝试将其结束；篡改系统Hosts文件，阻止用户升级杀毒软件或访问某些与安全相关的网站，不但降低了用户计算机抵御风险的能力，并且为病毒的进一步破坏做好了铺垫。在被感染计算机的后台秘密下载骇客指定的病毒配置文件“http://www.ush******art.com/kernel/cmd.txt”，并根据配置文件的设置下载恶意程序并调用运行。其中，所下载的恶意程序包括网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。同时，“代理木马”变种pyx还会根据配置文件中的参数，使用多种DDoS手段向指定的目标发起恶意攻击，对互联网的安全环境造成了更大的冲击和破坏。另外，该木马程序还具备自我更新以及向骇客报告用户感染情况的功能。

英文名称：Worm/AutoRun.xb
中文名称：“U盘寄生虫”变种xb
病毒长度：25600字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.xb“U盘寄生虫”变种xb是“U盘寄生虫”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“U盘寄生虫”变种xb运行后，会复制病毒主程序到系统目录下并重新命名保存。在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串，便会尝试结束其进程；强行篡改注册表相关键值，使用户计算机系统中“显示系统隐藏文件”的功能失效，从而达到自我保护的目的，提高了病毒的生存几率。“U盘寄生虫”变种xb还会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”和病毒主程序文件（“U盘寄生虫”变种xb），以实现双击盘符激活“U盘寄生虫”变种xb，从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的，给计算机用户带来了更多潜在的安全威胁。该蠕虫还可能会在被感染计算机系统的后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，为用户造成不同程度的损失。另外，“U盘寄生虫”变种xb会在系统注册表启动项中添加键值，实现蠕虫开机自启动。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Dnf.b“DNF游贼”变种b和Exploit.JS.Real.ag“Real蛀虫”变种ag值得关注。

英文名称：Trojan/PSW.Dnf.b
中文名称：“DNF游贼”变种b
病毒长度：16896字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Dnf.b“DNF游贼”变种b是“DNF游贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“DNF游贼”变种b是一个专门盗取“地下城与勇士Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://g1.wo***111.cn/6f/leyi2/post.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“DNF游贼”变种b会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。

病毒名称：Exploit.JS.Real.ag
中 文 名：“Real蛀虫”变种ag
病毒长度：906字节
病毒类型：脚本病毒
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.JS.Real.ag“Real蛀虫”变种ag是漏洞攻击病毒家族中的最新成员之一，采用JavaScript脚本语言编写，并且经过多层加密保护处理。“Real蛀虫”变种ag是一个利用“Real Player媒体播放器”漏洞进行病毒传播的脚本病毒。“Real蛀虫”变种ag一般内嵌在正常网页中，如果用户计算机没有升级修补“Real Player媒体播放器”相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种ag的恶意网页时，就会在当前用户计算机的后台连接骇客指定的远程服务器站点“http://pp.p***u.com/haha/”，下载恶意程序“down.exe”并自动调用运行。其中所下载的恶意程序可能是网游木马、流氓广告、病毒后门等，会给被感染计算机用户造成不同程度的损失。