caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.Soulwork.d“灵魂杀手”变种d和TrojanDownloader.Agent.apgq“代理木马”变种apgq值得关注。

英文名称：TrojanSpy.Soulwork.d
中文名称：“灵魂杀手”变种d
病毒长度：24576字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Soulwork.d“灵魂杀手”变种d是“灵魂杀手”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“灵魂杀手”变种d是一个专门盗取“魔域Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“灵魂杀手”变种d会通过修改注册表的方式来实现木马开机自启动。

英文名称：TrojanDownloader.Agent.apgq
中文名称：“代理木马”变种apgq
病毒长度：36352字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.apgq“代理木马”变种apgq是“代理木马”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“代理木马”变种apgq运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“vmdetdhc.exe”（文件属性设置为：系统、隐藏、存档）。修改注册表，实现木马开机自动运行。替换被感染计算机系统中的“%SystemRoot%\system32\drivers\Beep.sys”驱动文件，替换后的恶意驱动文件大小为3872字节。利用内核级还原“SSDT HOOK”技术恢复被感染计算机系统中的SSDT表（System Service Descriptor Table，系统服务描述表），致使大部分安全软件和杀毒软件的监控与主动防御功能失效，从而试图结束这些安全软件和杀毒软件的进程，达到自我保护的目的。以挂起的方式在被感染计算机的后台调用系统“svchost.exe”进程，并向其进程内存空间中注入恶意可执行代码，然后调用运行，执行访问网络等恶意操作。利用病毒调用的系统“svchost.exe”进程再次以挂起方式在后台调用系统IE浏览器进程“IEXPLORE.EXE”，并向其进程内存空间中注入恶意可执行代码，然后调用运行。如果被感染计算机上已安装了防火墙并启用，就可以利用用户设置的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。在被感染的计算机上查找指定的窗口名，一旦发现便通过发送“允许”和“关闭”消息来尝试躲避某安全软件的拦截。在后台连接骇客指定站点，在被感染计算机上安装恶意程序、下载安装著名下载软件“迷你**”商业版、在后台定时访问指定的恶意广告站点，提高这些恶意网站的访问量（网络排名），不仅给骇客带来经济利益，而且还会严重影响和干扰用户对计算机的正常操作。另外，“代理木马”变种apgq还会自升级。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    5、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

作为一名从KV3000时就开始使用江民杀毒软件的老用户，我对江民的每一次新品发布都很关注。此次KV2009公测，我当然不能错过。第一时间从网上下载了较新的公测版本（9月11日版本，大小为44.6M）。考虑到真机环境测试病毒具有一定的危险性，因此此次测试我使用了VMWare虚拟机，虚拟了XP和VISTA两套系统供测试使用。

测试环境：

主板:ASUSP5G-MX (BIOSversion:0401) CPU: IntelCore2Duo E4500内存: KingstonDDR2 6671G + Kingstion DDR2667 2G 硬盘 : Seagate7200.9Barracuda160G显卡:Integrated IntelGMA950

虚拟机配置如下:

WindowsXP: 512MBMemory 8GBHDDSize WindowsVista:1024MBMemory 16GBHDDSize

一、界面色彩清新，简洁易用

与以往界面相比，此次KV2009的界面有了很大改变，原来的菜单式界面改为选项卡式界面，老用户可能会因为使用习惯一时不太适应，但是更方便新用户上手操作。由于本人喜欢使用英文操作系统，因此KV2009安装后默认是英文界面，感觉很好。如图一：


（图一）

(需要说明的是，与其它杀毒软件不同，在语言选择上，江民KV2009是默认与操作系统使用同样的语言，分为简体中文、繁体中文、英文、日文四种版本。)

二、再见经典BootScan

江民KV2009中，经典的BootScan依然被保留，与国内其它启动杀毒或抢先杀毒不同，江民BootScan在程序启动顺序上是最领先的。XP下的使用效果自然不用说了，Vista下的 Bootscan也十分好用。


三、实战病毒：

下面就是病毒测试了，我作为个人用户，不可能做海量测试，毕竟很难保证大病毒库文件的完整，网上那种几千个病毒打包的，很多病毒体已经损坏了，不能作为严格意义上的样本。而且有不少是 Zoo样本。而类似 VB100的 Wildlist库又很难维护。所以我这里的病毒测试也就是测一测 KV2009的监控和一些常见的流行病毒，以及过其他杀软的病毒。看看 KV2009的表现。

1、 首先是Eicar文件测试

Eicar标准防病毒测试文件是欧洲计算机病毒研究机构和反病毒公司共同推出的用于测试防病毒产品防毒功能是否正常的测试文件。分为网页监控测试、文件监控测试、压缩文件测试、双重压缩文件测试四项，一一打开四项测试，KV2009的表现还是如 KV系列一贯的表现，监控反应迅速灵敏，刚打开eicar测试网页,KV2009立即报出病毒。


2、测试驱动病毒“磁碟机”

在某专业反病毒论坛上，选择了一个号称为“目前为止过所有杀软扫描”的“磁碟机3代”病毒，刚点击KV2009立即报毒，并阻止了病毒文件的下载。

3、测一个号称过卡巴的木马

选择了一个号称“过卡巴”的病毒文件，刚点击KV2009立即报警，提示发现病毒名为“Backdoor/Hugezi.Gen”病毒。


4、测加壳的灰鸽子

选择一加壳“灰鸽子”病毒，刚点击KV2009立即报警，并提示发现“Backdoor/Hugezi2007”某变种，病毒文件保存失败，KV2009文件监控发挥了作用。


除了以上对一些病毒进行测试外，我还对论坛上有一些用户提出的KV2009在 Vista下全盘扫描会蓝屏(“VISTASP1下一全盘扫描没几分钟就蓝屏只好强制重启”帖地址 http://bbs.jiangmin.com/dispbbs. ... D=527536&page=2 )。由于我刚好有条件，就测试了一下 VistaHomePremium和 VistaUltimate，跑下来完全没有问题，看来稳定性还是不错的。

测试过程中，我发现 KV2009的代理不支持域功能，虽然在国产杀软里面是个普遍现象，毒霸和瑞星也都不支持，但还是希望江民能够在适当时候支持这个功能，QQ的代理是支持域的。

caobin

新版本上市难免让人期待一番，下面是我所认识的kv2009

1.安全防范全面。从安装的第一步开始，我们就可以体会到江民的强大和细腻，在自定义安装模式下，江民KV2009提供“核心组件及病毒库、增强工具、江民共用组件、江民主动防御、江民杀毒软件语言包”等5个功能模块、20多个组件的强大功能，可以说，安装江民KV2009后，就可以轻松防范来自互联网、局域网、移动存储设备、垃圾邮件、恶意网站、未知病毒……等等方方面面的攻击和威胁。

  2.人性化设置突出。KV2009提供的安装设置向导包括“配置开机扫描病毒、配置扫描病毒选项、配置文件监控、配置网页监控、配置主动防御、配置主动防御”等丰富的设置选项，让各种用户都可以根据自己的应用环境配置个性化的安全设置。

  3、软件体积有所减小。相对江民KV2008安装包47MB，安装后占用磁盘空间84MB，江民2009安装包大小仅为36.7MB，安装后占用磁盘空间缩小至57MB。

  4、新增功能丰富。KV2009新增大量功能，包括启发式扫描、虚拟机脱壳、沙盒技术、内核级防御、多行为智能主动防御、ARP欺骗攻击防护、互联网安检通道、系统检测安全分级、反病毒Rootkit/HOOK技术、“云安全”防毒系统等十余项新技术。

  5.杀毒实测。归根结底，病毒查杀功能才是目前用户关注的焦点，也是安全软件的基石，下面我们看看KV2009的病毒查杀实力。测试样本为2007年病毒样本，包括Bot、病毒、黑客工具、后门、间谍、木马、蠕虫、Rootkit和加壳样本，共9大类483个。

  KV2009病毒库未升级，为安装后默认病毒库（2008-8-19），测试结果显示，江民KV2009查杀348个病毒，占病毒总数的72%。对照软件为McAfee 8.5i Patch5，病毒库升级为最新（2008-10-6），检测出病毒344个，占病毒总数的71%。由于KV2009在虚拟机上测试，而McAfee 8.5i Patch5在宿主机上测试，因此，杀毒时间不具可比性。测试中出现一个比较奇怪的现象，病毒包内共有病毒样本483个，另外还有一个readme文件，共484个文件，但是江民却扫描的594个文件，而McAfee 8.5i只扫描了482个文件。测试结果截图参加http://picasaweb.google.com/pacificocean/Public#

  综合来说，江民KV2009在功能和病毒防范上的进步还是十分明显的，其新增的功能绝不是徒有其表，特别是病毒查杀性能强劲，未升级病毒库的KV2009已经超越McAfee 8.5i，这进一步增强了我们对KV2009正式版的期待和信心。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/Vundo.efo“雾毒”变种efo和Trojan/Qhost.aoi“Hosts劫持者”变种aoi值得关注。

英文名称：Trojan/Vundo.efo
中文名称：“雾毒”变种efo
病毒长度：81408字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vundo.efo“雾毒”变种efo是“雾毒”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“雾毒”变种efo是一个专门盗取网络游戏“封印簡訊Online”玩家会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的这些机密信息资料发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失，给游戏玩家带来不同程度的损失。同时，“雾毒”变种efo还具有窃取玩家游戏账号密码保护资料的功能。如果游戏玩家发现自己的游戏账号被盗，请千万不要在当前被感染的计算机上登陆该网络游戏的会员官方网站去找回游戏密码，不然可能会连同您的密码保护资料一同被骇客盗取，给您带去更大程度的损失。“雾毒”变种efo运行时，会在被感染计算机的后台秘密监视用户打开的所有网页窗口，一旦发现“GASH网络游戏”官方网站的会员登陆窗口便开始记录用户输入的信息（利用钩子和自动读取分析网页代码提交表单等方式），从而达到窃取用户“GASH网络游戏”官方网站会员账号和会员密码等机密信息资料的目的，并在后台将窃取的这些机密信息资料发送到骇客指定的远程服务器站点中或邮箱里，会给被感染计算机用户带来一定程度的损失。另外，“雾毒”变种efo会通过修改注册表来实现木马开机自启动。

英文名称：Trojan/Qhost.aoi
中文名称：“Hosts劫持者”变种aoi
病毒长度：237568字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Qhost.aoi“Hosts劫持者”变种aoi是“Hosts劫持者”木马家族中的最新成员之一，该病毒是由其它恶意程序释放出来的DLL功能组件，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“Hosts劫持者”变种aoi运行后，会在被感染计算机的后台强行篡改用户系统中的“hosts”文件，向内部添加上百个与计算机安全有关的站点地址。利用域名映像劫持功能来屏蔽被感染计算机与外部安全站点的连接，使中毒计算机无法得到快速有效的处理，给用户的正常连网操作带来一定的干扰。另外，“Hosts劫持者”变种aoi还会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    4、开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机。
    5、利用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。
    6、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

这是在江民官方网站上看到的，新发布的2009版本能用5年，这是真的？
10月14日，国内最大的计算机反病毒软件厂商江民科技隆重发布新品KV2009。发布会现场，江民科技总裁陶新宇宣布，KV2009盒装产品在原来两年服务期的基础上再延长三年，推出5年服务期版本，成为目前全球反病毒软件市场中服务期限最长的杀毒软件。

    据了解，目前国内主流杀毒软件公开宣称的服务期最长为两年，江民科技将服务期延长至五年，无疑在本来竞争激烈的杀毒市场投下了一枚炸弹。陶新宇介绍，江民此举是实实在在给用户让利。长期以来江民科技努力在反病毒技术上不断推陈出新，推出一项又一项计算机反病毒新技术，有力地阻击和遏制了计算机病毒的蔓延。然而，由于国内外多达数十款杀毒软件或安全工具软件在争抢杀毒市场，在技术上难免泥沙俱下，鱼目混珠。近年来出现的新病毒中多数是驱动级病毒，一些不具备内核级技术的杀毒软件纷纷被病毒关闭和破坏，导致许多电脑用户对杀毒软件意见很大，影响了杀毒软件的声誉，加上一些不掌握杀毒核心技术的厂商为了推广自己的产品不惜诋毁整个杀毒产业，抛出“杀毒软件将死”“杀毒软件无用”等种种论调，让许多电脑用户在选择杀毒软件时无所适从。

    再先进的技术也需要最广泛的普及应用才有意义，为了让更多的电脑用户使用上江民科技领先的计算机反病毒技术和产品，江民决定最大力度让利占领市场，让用户用上先进的反病毒产品，为杀毒软件正名，为整个杀毒行业正名。

    江民科技董事长王江民表示，江民科技有着雄厚的经济基础，拥有国内最大的自主产权计算机反病毒基地，完全有能力打赢这场杀毒市场的持久战。江民科技指出，一些企业提出的“永久免费”的永久是虚无的，而江民提出的五年免费升级服务期是实实在在可以看到的。

    此次江民发布的新品KV2009被称为全功能杀毒软件，有着十余项创新技术以及多达三十余项的安全功能，防范涵盖计算机病毒防范、互联网安全、系统安全、数据安全等四大方面。对于有人提出为什么不称为“全功能安全软件”说法时，王江民认为，安全软件在我国事实是国外英文名称翻译过来的词汇，江民科技不会放弃“杀毒软件”这一我国特定的产品名称，并非叫杀毒软件就只有杀毒这一项功能，江民KV2009全功能杀毒软件的三十余项功能比国外的安全软件只多不少。

    业内人士认为，江民科技作为有着20年计算机反病毒历史的国内老牌反病毒企业，此次推出杀毒软件5年服务期限的新举措，为杀毒行业树立了一个服务新标杆。电脑用户需要真正能防杀病毒的新技术和新产品，同样在服务上也希望能够得到更多的实惠，以技术著称的江民科技此次率先大幅延长服务期限，必将带动整个杀毒软件市场从无序竞争向技术和服务两大主题转型，无疑电脑用户将最终成为最大受益者。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/StartPage.aza“初始页”变种aza和Trojan/PSW.QQPass.udx“QQ大盗”变种udx值得关注。

英文名称：Trojan/StartPage.aza
中文名称：“初始页”变种aza
病毒长度：35840字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.aza“初始页”变种aza是“初始页”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“初始页”变种aza运行后，会在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放恶意DLL功能组件“*.dll”和恶意驱动文件“*.sys”，文件名随机生成。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台定时访问指定的恶意广告站点，提高某网站的访问量（网络排名），给骇客带来经济利益、严重影响和干扰用户的正常操作。“植木马器”变种ps还会占用大量系统资源，极大地影响了系统的运行速度。在被感染计算机的后台秘密窃取用户当前所使用系统的配置信息，然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户带来不同程度的损失。“初始页”变种aza释放出来的恶意驱动程序每次启动后都会强行篡改系统IE浏览器的默认首页为指定站点，以便增加某网站的访问量。

英文名称：Trojan/PSW.QQPass.udx
中文名称：“QQ大盗”变种udx
病毒长度：46205字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.udx“QQ大盗”变种udx是“QQ大盗”木马家族中的最新成员之一，采用“Delphi”语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“QQ大盗”变种udx是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取用户的QQ用户名和密码等机密信息，并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点上，给用户带来一定程度的损失。“QQ大盗”变种udx会在被感染计算机系统注册表中添加键值来实现木马开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
    7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

近年来，新病毒出现的频率和数量越来越让人吃惊，江民科技2008年度上半年的计算机病毒疫情报告显示，仅2008年上半年，江民反病毒中心就截获新病毒206439种，这一数字是2007年同期的3倍左右！反病毒厂商在加强对病毒样本的快速搜集和处理机制的同时，对于未知病毒的判断和查杀的功能显得越来越重要。

    在对未知病毒的查杀上，国际计算机反病毒领域主要有虚拟机、启发式、“沙盒”三大主流技术。目前，这三项技术在国内已经在江民科技最新推出的KV2009版本上得到成功应用。

    虚拟机技术近年来提的较多。虚拟机的原理是在系统上虚拟一个操作环境，然后在这个虚拟环境下运行病毒，在病毒现出原形后将其清除。虚拟机目前主要应用在脱壳方面，许多未知病毒其实是换汤不换药，只是把原病毒加了一个壳，如果能成功地把病毒的这层壳脱掉，就很容易将病毒清除了。对于虚拟机的应用，许多反病毒专家各执一词，有人强调虚拟机杀毒技术，认为这项技术可以很好地清除未知病毒。而有的专家则对此持保留态度，原因是虚拟机需要占用太多的系统资源，虚拟机功能的强大是建立在消耗大量的系统资源基础上的，过分强调和应用虚拟机杀毒技术，可能会导致整个操作系统都不能进行其它工作。

    江民杀毒软件KV2009对虚拟机的应用恰到好处。KV2009应用虚拟机对病毒进行脱壳处理，目前除了通常的壳以外，还增强了对花指令和生僻壳的脱壳能力。在对未知病毒的处理上，KV2009并不单纯依赖虚拟机，这就大大降低了占用系统资源，确保强大的杀毒功能外，电脑仍然能够顺利流畅地进行其它工作。

    启发式近年来在国外杀毒软件中提的较多。启发式分为静态启发和动态启发，静态启发有点相当于广谱特征码技术，在杀毒软件中内置一个特别的启发特征库，然后将病毒的原码与这个库进行比较，如果符合这个库里的病毒特征，就将其报为相应的病毒。江民杀毒软件KV2009不但具有静态启发，而且还有动态启发，动态启发与虚拟机结合的十分紧密，目前主要应用在对花指令病毒的扫描和查杀。

   “沙盒”技术是国际反病毒业界近年来最新提出的反病毒新概念，多数杀毒厂商尚处于实验室研究阶段，江民杀毒软件KV2009成为国内首家将该项新技术应用到产品中的专业杀毒厂商。

    虽然同为防范未知病毒的杀毒技术，“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行；“沙盒”技术是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演，但是沙盒会记下他的每一个动作。在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态。

    随着病毒变种如潮水般涌现，杀毒软件的未知病毒查杀技术将会显得越来越重要。目前流行的“云安全”概念侧重于对已知病毒的响应速度，在应对未知病毒上仍然有着天生的缺陷，因为必然是先有病毒发作然后才能被“云安全”防毒系统捕获，而虚拟机、启发式、“沙盒”等技术则弥补了这一缺陷，只有融入了虚拟机、启发式、“沙盒”等技术的“云安全”防毒系统才是真正安全的防毒系统。江民杀毒软件KV2009致力于“云安全”防毒系统与三大未知病毒防杀技术的有机融合，为用户提供从“已知病毒的迅速响应到未知病毒的立体防杀”这一无间隙的安全防范体系。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/VBS.Agent.bg“代理木马”变种bg和Trojan/BHO.cms“BHO劫持者”变种cms值得关注。

英文名称：Trojan/VBS.Agent.bg
中文名称：“代理木马”变种bg
病毒长度：5037字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/VBS.Agent.bg“代理木马”变种bg是“代理木马”家族中的最新成员之一，采用VBS脚本语言编写，并且经过加密保护处理。“代理木马”变种bg运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“prncfg.vbs”，文件属性设置为：系统、隐藏、只读、存档。“代理木马”变种bg在启动时，先弹出桌面文件夹后再关闭掉，结束进程查看器“Sysinternals Process Explorer”软件的某些版本，达到自我保护的目的。“代理木马”变种bg会在被感染计算机的后台秘密窃取用户当前所使用的系统配置信息，然后从骇客指定的远程服务器站点下载恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户带来一定程度的损失。“代理木马”变种bg还会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件“evA.vbs”（“代理木马”变种bg），文件属性设置为系统、隐藏、只读、存档，实现双击盘符启动“代理木马”变种bg运行，从而利用U盘、移动硬盘、SD卡等移动存储设备达到自我传播的目的，给计算机用户带来潜在的威胁。

英文名称：Trojan/BHO.cms
中文名称：“BHO劫持者”变种cms
病毒长度：141312字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/BHO.cms“BHO劫持者”变种cms是“BHO劫持者”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“BHO劫持者”变种cms运行时，会在被感染计算机上定时弹出恶意广告网页，给用户带来一定程度的干扰。从骇客指定站点下载恶意程序并在被感染计算机上自动安装运行，给用户带来不同程度的损失。“BHO劫持者”变种cms在被感染计算机系统中将自身注册为BHO（Browser Helper Object，浏览器辅助对象，简称BHO），实现木马随IE浏览器的启动而加载运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常运行，更好地保护用户计算机的安全。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、开启江民杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

我们启动“KV安全助手”，可以通过两个地方运行;一个是桌面的KV快捷方式，右击选择“安全助手”;另一个是进入 D:\Program Files\JiangMin\SafeTools运行“KVIETools”。
先来看检测列表，
通过检测列表能发现广告程序流氓软件，点击清理即可。不过，我们在系统诊断里清理过浏览器加载项，在这里没有发现什么了，就不贴图了

需要注意以下几项：
1.系统清理
这里可以清理系统的临时文件夹。我们在这里看到的都是最先存放病毒程序和临时文件。
2.系统修复
点击后我们可以看到红颜色提示那些被修改的选项，点击修复即可。


现在开始修复KV2008和解除任务管理器的禁用
    我们点击  开始  运行，输入“gpedit.msc”用户配置  系统  clt+alt+del 选项  右边  双击“删除“任务管理器”选择启动，点击确定，然后再双击，选择未配置。这样，即可解除任务管理器的禁用；



然后，可以进入D:\Program Files\JiangMin\Install文件夹删除“Compose”文件夹，进入D:\Program Files\JiangMin\KVOL运行“KVol”开始KV升级和自我修复。


升级后，我们启动“KV主界面”，这时已经可以打开了。



    在KV主界面，我们点击主界面的“系统安全”“未知病毒检测”“扫描样本库”，因为我们在前面备份样本了，那时KV还没有修复完成，所以不能启动样本库扫描，现在升级修复后可以运行了，我们可以将样本加入样本库，扫描后我们看到这些病毒样本差不多都是残留尸体了，点击“杀样本”即可。



到这里，大家能看到，电脑系统和被破坏的KV已全部修复完。

我们看到KV的自我保护已经恢复正常，电脑系统也已正常。


    从以上过程可以看出，利用KV2008进行这样的清除、修复，相对来说简便实用，更能给电脑用户带来方便。而且，我觉得这些对于存有重要资料的电脑，或者安装好软件不能重装系统的用户，他们必定是乐于接受的！

caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.Pophot.bgk“焦点间谍”变种bgk和TrojanSpy.WOW.by“魔兽杀手”变种by值得关注。

英文名称：TrojanSpy.Pophot.bgk
中文名称：“焦点间谍”变种bgk
病毒长度：36352字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.bgk“焦点间谍”变种bgk是“焦点间谍”间谍类木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“焦点间谍”变种bgk运行时，会在被感染计算机的后台遍历当前系统的所有进程，一旦发现指定的安全软件的进程便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，达到自我保护的目的。可能会在被感染计算机上定时弹出恶意广告网页，给用户带来一定的干扰；可能还会从骇客指定的站点下载恶意程序并在被感染计算机上自动安装运行，给用户带来不同程度的损失。“焦点间谍”变种bgk会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件（“焦点间谍”变种bgk），实现双击盘符激活“焦点间谍”变种bgk，从而利用U盘、移动硬盘、SD卡等移动存储设备达到自我传播的目的，给用户带来潜在的威胁。“焦点间谍”变种bgk在被感染计算机系统中安装完毕后，会将病毒自身的安装程序删除，达到消除痕迹的目的。

英文名称：TrojanSpy.WOW.by
中文名称：“魔兽杀手”变种by
病毒长度：42052字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.WOW.by“魔兽杀手”变种by是“魔兽杀手”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，隐藏自我，防止被用户发现、被安全软件查杀。“魔兽杀手”变种by是一个专门盗取网络游戏“魔兽世界Online”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。“魔兽杀手”变种by会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。另外，“魔兽杀手”变种by具有自动更新功能。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统的安全。
    6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
    7、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身的正常工作，更好地保护用户计算机的安全。  
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。