caobin

KV2008的未知病毒查杀功能，这是我最喜欢的功能，给别人处理计算机问题时一般都会装上它去检查系统，解决疑难！在新的KV2008中这个功能变得更加强大了！
    在学校，有时同学找我去看看电脑问题，基本上是用这个工具去查。同学都开玩笑说这是一个“秘密武器”，其实在一个没有杀毒软件的“裸机”上或是杀毒软件已经被关闭的状态下想要快速解决问题就只能用它了。
    我们以木马Trojandownloader.agent.sjw 为例，看看未知病毒查杀的强大功能！
    在运行病毒程序后，并且在连接网络状态下，这时可以利用未知病毒查杀功能进行扫描。


在扫描时，可以看到在c盘的系统文件夹下产生了RPMSVC.EXE程序，其样本类型为中度可疑，可疑概率达到了62%，状态为正在运行。
    我们也可以使用江民进程查看器查看一下，


其中，可疑程序Rpmsvc.exe 的危险程度达到了97% ，


在网络连接上，可以看到可疑程序已经连接到80.93.214.43：4490
   来看看未知病毒查杀如何来帮助我们解决问题。在扫描完成后，我们进行下一步的操作。在可疑程序上我们可以单击右键，直接对可疑文件结束进程、文件定位、删除文件等一系列的操作，在没有KV2008的主程序时可以用这些功能对可疑文件进行处理！

KV2008中提供了可疑程序处理向导，使用可疑程序处理向导一步步地进行操作：
    第一步是进行信任程序白名单的加入，可以把自己认为可信任的程序放到白名单中；

第二步是选择要结束的运行程序，在选择好可疑程序以后单击“下一步”
C盘系统文件夹下的那个可疑程序的状态已经是“终止”；我们再进行下一步的选择。

第三步把可以文件加入到样本库中，最后是完成处理。

我们再次使用未知病毒检测重新扫描，可以看到可疑文件的可疑概率下降到了40% 。


可疑文件没有了。

   可以看到，2008版KV中的未知病毒扫描功能在江民进程查看器的共同作用下已经达到了非常有效的程度。
    以上是自己使用未知病毒功能的一些收获，KV2008中还有很多强大而实用的功能，相信KV2008在这些强大功能的共同组件作用下会更好地保护我们的计算机的！

caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.OnLineGames.iyo“网游窃贼”变种iyo和Trojan/AntiAV.dj“系统杀手”变种dj值得关注。

英文名称：TrojanSpy.OnLineGames.iyo
中文名称：“网游窃贼”变种iyo
病毒长度：12060字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.OnLineGames.iyo“网游窃贼”变种iyo是“网游窃贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“网游窃贼”变种iyo运行后，会在被感染计算机的系统目录下释放多个病毒文件，同时将其中的DLL病毒文件插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行，通过隐藏自身来防止被轻易地查杀。“网游窃贼”变种iyo是一个专门盗取“QQ华夏Online”、“地下城与勇士 Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。同时，“网游窃贼”变种iyo还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同密码保护资料一起被骇客盗取，进而蒙受更多的损失。“网游窃贼”变种iyo会利用域名映像劫持功能，阻止用户访问网络游戏的官方站点，从而延误了用户在丢失账号后立即取回密码的时机。“网游窃贼”变种iyo利用进程守护功能来实现自我保护。该病毒会通过替换系统文件来实现开机的自启动。如果安全软件直接删除了病毒文件的话，会导致被感染计算机出现复制（粘贴）功能失效等异常现象，严重地影响了用户对计算机系统的正常使用。另外，“网游窃贼”变种iyo的主程序执行完毕后会自我删除。

英文名称：Trojan/AntiAV.dj
中文名称：“系统杀手”变种dj
病毒长度：81408字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/AntiAV.dj“系统杀手”变种dj是“系统杀手”木马家族中的最新成员之一，采用Delphi语言编写，经过加壳保护处理。“系统杀手”变种dj运行后，会复制自身到系统“c:\tasks\”目录下并重新命名为“绿化.bat”和“csrss.exe”。同时，还会释放脚本文件“hackshen.vbs”和配置文件“SA.DAT”。禁用Windows 安全中心服务“Security Center”，使关闭安全软件后没有警告提示信息，从而达到自我保护的目的。后台调用系统进程“csrss.exe”，尝试结束某些安全软件的运行，给用户的计算机安全造成了一定的安全隐患。释放DLL病毒文件“wsock32.dll”到系统的所有目录下（其中，由于兼容性的问题，可能会导致某些系统软件启动后会报错、退出），利用DLL劫持原理，使某些带有连网功能的软件自动连接骇客指定站点“http://211.***.***.32/wm/”，下载恶意程序“mm.exe”并调用运行（其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给用户造成不同程度的安全威胁。

caobin

继江民科技10月14日率先推出杀毒“沙盒”“云安全”防毒系统后，近日，瑞星、金山先后高调推出“云安全”概念，并正式推出以“云安全”为亮点的2009版本。至此，国内三大杀毒厂商都具有了“云安全”系统，并寄希望于这套系统能够有效应对目前迅猛增长的新病毒和互联网威胁。

        江民科技反病毒专家何公道介绍，江民早在2006年就推出了“云安全”防毒系统，借助于该套系统，江民每日处理可疑程序和病毒样本数万个，每日更新新病毒数千个。从2006年推出“云安全”防毒系统以来，江民反病毒中心累积分析处理各种疑似病毒样本超过千万个，病毒处理能力较2006年之前增强200倍，有效遏制了病毒的迅猛增长。

        江民科技总裁陶新宇在接受记者采访时讲过， “其实以云方式构建的大规模特征库并不足以应对安全威胁的迅速增长，国内外杀毒厂商还需要在核心杀毒技术上下足功夫，例如虚拟机、启发式、沙盒、智能主动防御等未知病毒防范技术都需要加强和发展，多数杀毒软件本身的自我保护能力也需要加强。” 这种论点得到了何公道等多位国际资深计算机反病毒专家的认同，因为，病毒增长的再快，只是量的变化，而现实当中，造成巨大损失的，却往往是极少数应用了新病毒技术的恶性病毒，近年以来主要以“磁碟机”为代表的“恶意驱动病毒”。因此，反病毒厂商在注重反病毒“量”的同时，更应当重视反病毒的“质”的提高，对付一千万个普通病毒容易，但能够对付一百个恶意驱动病毒，就要看你的核心反病毒技术是否足够过硬了。

        江民科技更加关注的是“云安全”与“核心技术”的有机融合。也就是说，“云安全”必然要建立在“内核级自我保护”“沙盒”“虚拟机”等核心技术的基础上才能显出威力，没有这些核心技术，杀毒软件在病毒面前就可能会出现“有心无力”的尴尬，现实中许多杀毒软件扫描发现了病毒，却无力清除，甚至反被病毒关闭的现象比比皆是。这也是为什么江民在推出KV2009时，首先强调的是“沙盒”“内核级自我保护”“智能主动防御”“虚拟机”等核心技术，而把“云安全”防毒系统排在后面的原因。杀毒和其它行业一样，首先是基础要足够强大，基础不扎实，楼建的再高也不牢靠。
         
        谈到“沙盒”技术时，何公道认为，有厂商认为“沙盒”其实就是“虚拟机”，这其实是一种重大误解。“沙盒”是一种更深层的系统内核级技术，与“虚拟机”无论在技术原理还是在表现形式上都不尽相同，“沙盒”会接管病毒调用接口或函数的行为，并会在确认为病毒行为后实行回滚机制，让系统复原，而“虚拟机”并不具备回滚复原机制，在激发病毒后，虚拟机会根据病毒的行为特征判断为是某一类病毒，并调用引擎对该病毒进行清除，两者之间有着本质的区别。事实上，在对付新病毒入侵时，应用了“沙盒”的KV2009已经开始发挥了强大的效力。有用户在关闭江民KV2009杀毒软件各种实时监控，仅开启了“带沙盒技术的主动防御”模式，结果运行“扫荡波”新病毒后，病毒的所有行为被拦截并抹除，没有机会在系统中留下任何痕迹。

       何公道说，目前网络安全面临的形势十分严峻，国家计算机病毒应急处理中心张健副主任曾讲过，目前反病毒面临的最主要问题是驱动型病毒对杀毒软件的技术挑战。因此，目前反病毒的首要任务是进一步提升反病毒核心技术，在确保反病毒技术的前提下，充分借助“云安全”防毒系统的快迅响应机制，打造“云安全”加“沙盒”的双重安全保障体系。

caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.WOW.fr“魔兽杀手”变种fr和Rootkit.Agent.ap“代理”变种ap值得关注。

英文名称：TrojanSpy.WOW.fr
中文名称：“魔兽杀手”变种fr
病毒长度：31300字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.WOW.fr“魔兽杀手”变种fr是“魔兽杀手”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。“魔兽杀手”变种fr运行后，会在被感染计算机系统的临时文件夹下释放一个DLL病毒文件，并将其插入到被感染计算机系统的“explorer.exe”进程中加载运行。在后台执行相应的恶意操作，隐藏自我，防止被查杀。“魔兽杀手”变种fr是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“魔兽杀手”变种fr会修改系统注册表启动项，以实现开机后木马自动运行。

英文名称：Rootkit.Agent.ap
中文名称：“代理”变种ap
病毒长度：9056字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Agent.ap“代理”变种ap是“代理”木马家族中的最新成员之一，是一个采用内核级Rootkit技术来实现自我隐藏的恶意驱动程序，未经过加密保护处理。“代理”变种ap在用户计算机系统中注册、运行后，利用高级的Rootkit技术（内核级的钩子“SSDT HOOK”与“FSD HOOK”）隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息，防止被用户发现、被安全软件查杀，从而达到了更好的隐蔽效果。该恶意驱动程序属于某病毒整体中的一个功能模块，伴随该恶意驱动程序的出现，还会有其它恶意功能模块也一同被安装到了被感染计算机的系统中。一旦用户的计算机系统感染了该病毒，则很难将其清除干净。

caobin

转自 江民官方网站
    在这个网络时代，不安全的因素无处不在。一旦网络或一台计算机被严重地击毁了，系统管理员需要采取行动来对付攻击。在下面的文章中，让我们来看一些常见的选择和假设，并且考虑在处理一个受到攻击的系统时，为什么这些未必是最好的行动。

　　1. 你不能通过为一个受到损害的系统打补丁来保持其健康;补丁只能清除漏洞。而一旦一个黑客进入了你的系统，你应当假定他或她已经保证有其它的方法可以使其重新进入。例如，建立一个账户等。

　　2. 你不能通过移除后门来净化你受到损害的系统。你千万不要保证已经找到了攻击者可以进入的所有后门。事实是，你不能找到更多的后门只是表明：你并不知道到哪里去查看，或者系统已经被糟蹋的千疮百孔以至于你所看到的并不是其本来面目。

　　3. 你不能通过使用一些漏洞清除程序来为系统“净身”。让我们假设你的系统受到了冲击波的攻击。许多厂商(国内的、国际的都有)都发布了其漏洞清除程序。在清除工具运行之后 ，你能相信一个曾受冲击波攻击的系统吗?笔者不能。因为如果系统易受到冲击波的攻击，那么它也容遭受其它形式的攻击。你能保证其它的某种攻击不会针对你的系统吗?

　　4. 你不能通过使用一个病毒扫描程序来保障曾受到攻击的系统是安全的。一个完全受到损害的系统是不可信任的，它不会告诉你真相。甚至病毒扫描程序在某种水平上还要依赖于系统对其“真诚相见”，也就是说系统会向病毒扫描程序撒谎。如果要问一个特定的文件是否存在，攻击者可能只需要一个工具就可以告诉你一些虚假信息。.如果你能保证损害系统的唯一因素是一个特定的病毒或蠕虫，并且你知道这个病毒或蠕虫没有与之相关的后门，而且由这个恶意代码利用的漏洞不能从远程利用，那么可以使用一个病毒扫描程序来清洁你的系统。例如，多数电子邮件蠕虫依赖于一个用户打开一个附件。在这种特定的情况下，系统上的唯一感染源就是包含蠕虫的邮件附件。不过，如果这个被蠕虫所利用的漏洞能够在用户不操作的情况下被远程控制，而且你不能保证蠕虫是利用此漏洞的唯一因素，那么其它的某种恶意代码利用同一个漏洞的可能性是完全可能的。在这情况下，你就不能只是为系统打上补丁就万事大吉了。

　　5. 在现有的系统上重新安装操作系统也不能保证系统的安全性。攻击者仍会使用安排好的一些工具来欺骗安装程序。如果是这种情况，安装程序可能并没有真正清除受到感染或损害的文件。此外，攻击者还有可能在非操作系统部件中安置后门。

　　6. 你不能相信通过复制、粘贴等手段来自受损系统的任何数据。一旦一个攻击者进入了一个系统，其上的所有数据都可能被篡改。将一个受损系统的数据复制到一个干净的系统上，其结果是什么呢?最好的情况是，你将得到潜在地不可信任的数据。最糟的情况是，你可能复制了一个隐藏在数据中的后门。你说可怕不可怕?

　　7. 你不能相信受损系统上的事件记录。一旦一个攻击者完全进入了一个系统，他修改事件记录来掩盖其攻击的足迹是相当简单的事情。如果你依赖于事件记录来告诉你攻击者对你的系统做了什么操作，那么你有可能正中其下怀，因为你读的可能是黑客们需要你读的东西。

　　8. 你还可能无法相信最新的备份。你能指出最初的攻击是什么时候发生的吗?前面说过，事件记录是不可相信的。如果没有这些知识，你最新的备份就毫无用处。也许可以这样说，你做的只是一个包括目前系统上所有漏洞的备份，你能相信任何备份吗?在你上网炒股时尤其要注意这一点，因为你无法完全确定用以恢复的系统没有包含“网银大盗”这种间谍程序。

　　9. 也许我们可以这样说，保持系统健康的唯一正确方法是自己破坏原有的系统，并重新构建它。也许可以这样说，要想创造一个新世界，首先要打破一个旧世界。如果你拥有一个受到彻底损坏的系统，你可以实施的唯一安全措施是重新构建、安装系统。

　　还有其它什么选择吗?我们的回答是有的，那就是一开始就要防止系统受到攻击。关于这方面有许多文章，你可以上网上找到许多资料，例如，通过一般用户上网查找资料，正确设置浏览器防止自动下载，及时安装下载补丁(不过，你怎么知道什么时候算是“及时”?你能为所使用的所有应用程序和工具及时安装补丁吗?)，修改超级用户密码，安装防火墙，等等，在此笔者就不一一列举了。但我们要说的是，没有绝对安全的网络和系统!

caobin

总希望有一块天地属于自己，总有一些东西属于隐私。数字化让你保存信息越来越方便的同时，也带来了私密随时会意外泄露的可能。究竟该如何保护电脑上信息的安全，以免让自己的隐私或者商业机密流传到网上呢？下面这6个招数虽然简单，但效果不错，看了就可以用，用了就管用！在江民杀毒软件的官方网站看到这个，跟大家分享一下.

??关口1：删除原件

??如果电脑出现故障需要外送修理的时候，先把有用的资料备份到U盘中，然后把文件删除。??

??关口2：粉碎文件

??即使您把电脑中的文件从“回收站”里彻底删除了，高手们用一些恢复软件还是有可能从硬盘中找到那些已被您删除的文件。有个窍门，就是利用多个杀毒软件都提供的“文件粉碎”功能，对文件进行彻底的不可恢复性粉碎。??

??关口3：二次加密

??在使用网络相册、网络空间存储相片和文件时，最好多分几类，然后分别为其二次加密，最好密码不一样，以免被人“一次看光”。?

??关口4：及时打补丁

??安装防火墙和杀毒软件，并及时打补丁，防止黑客入侵。??

??关口5：不存邮箱

??不要把重要信件保存在邮箱内，邮箱服务并非万无一失，用户名和密码也有被破解的可能。??

??关口6：硬盘打孔

??有些人靠恢复废弃硬盘内有价值信息并出售获利，我们在处理废旧电脑时，应对硬盘特殊处理，可把废弃硬盘内的盘片打孔或毁坏。

caobin

U盘病毒的肆虐相信大家都已领教过，稍一大意就会有中毒的危险。每次同学、同事的U盘在你的爱机上插来插去总是让我们“提心吊胆”，总不能因为病毒的原因就把USB端口给禁用了吧？用其它U盘病毒免疫工具总有一定的局限性（例如：要禁用自动播放功能，比如说当你需要使用自动播放功能时呢？而且有的工具生成的Autorun.inf歧义文件夹现在病毒已经很轻易可以删除，有举的朋友可以用冰刃删除试试），怎么办呢？

江民对毒病毒真的很有一套，“移动设备存储控制”功能主要是为对付U盘病毒设计的，当用户插入U盘时会首先进行拦截，只有当用户输入正确的口令才可以继续对U盘进行操作，这样就可以防止病毒侵入了，不仅如此，此功能还可以为你的电脑保密，为什么这么说呢？我们知道电脑上的文件很容易被小小的U盘带走，如果当你不在时，别人可以很轻易将你电脑上的资料（商业机秘，个人隐私）拿走，后果不堪设想，OK，现在有了KV2008，只要开启“移动存储控制功能”，并且设置一个口令，我们就可以为我们的移动存储设备加个锁，这样既可以防病毒又可以保护资料，何乐而不为呢？


    如何开启移动存储控制功能？不要着急，慢慢跟我来，我们打开江民杀毒软件主界面，单击“工具”－“设置”，在“江民设置程序”中选择“保护密码”，我们勾选“移动设备存储”选项，并且一定要注意勾选“修改密码/设置密码”选项否则不会生效，然后设置好访问U盘的密码，单击“确定”，重新启动计算机，大功告成～

caobin

江民今日提醒您注意：在今天的病毒中TrojanDownloader.Agent.arqg“代理木马”变种arqg和Trojan/PSW.QQGame.hx“QQ游贼”变种hx值得关注。

英文名称：TrojanDownloader.Agent.arqg
中文名称：“代理木马”变种arqg
病毒长度：200704字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.arqg“代理木马”变种arqg是“代理木马”木马家族中的最新成员之一，是一个由其它恶意程序释放出来的木马下载器，采用“Microsoft Visual C++ 7.1”编写，未经过加壳保护处理。该病毒功能十分强大，能根据骇客需求实现木马下载、DDos攻击、反安全软件等不同的功能，还可进行自我升级更新，以更好的躲避杀毒软件的围剿。“代理木马”变种arqg运行后，会自我复制到被感染计算机系统的“%SYSTEMROOT%\system32”目录下，重新命名为“compbatc.ocx”。然后创建新的用户级权限进程“svchost.exe”，并将“compbatc.ocx”注入其中运行，以进行更好的自我隐藏。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现某些与安全相关或特定的进程存在时，便会以多种方式尝试将其结束，从而达到自我保护的目的。在后台连接骇客站点，获取病毒配置文件，根据其中的内容下载大量的病毒或木马并自动调用运行，还可能会根据配置文件中的参数，利用被感染计算机向指定网站或者IP地址发动多种类型的DDos攻击，为信息网络的安全环境造成了更多更大的威胁与破坏。另外，“代理木马”变种arqg通过木马主程序的调用实现开机自动运行。

英文名称：Trojan/PSW.QQGame.hx
中文名称：“QQ游贼”变种hx
病毒长度：14848字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQGame.hx“QQ游贼”变种hx是“QQ游贼”木马家族中的最新成员之一，采用高级语言编写，未经过添加保护壳处理，是由某个木马主程序释放出来的DLL病毒文件。该病毒会由木马主程序复制到指定目录下，并随木马主程序的启动一起被加载运行。“QQ游贼”变种hx是一个专门盗取“QQ三国”网络游戏会员账号的木马，通过插入游戏主程序进程，利用内存截取等技术来实现盗取该网络游戏的账号信息等目的，并在后台将窃取到的玩家机密信息以表单形式发送到骇客指定的远程服务器页面“http://1.10000sanguofds***.cn/postly/post.asp”、“http://2.20000sanguovne***.cn/lym/001dhjkgd/post.asp”、“http://3.30000sanguorel***.cn/postly/post.asp”、“http://4.40000sanguopou***.cn/lym/001kgddhj/post.asp”上，致使网络游戏玩家蒙受不同程度的经济损失。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/QQFishing.c“QQ诈骗犯”变种c和Worm/AutoRun.xd“U盘寄生虫”变种xd值得关注。

英文名称：Trojan/QQFishing.c
中文名称：“QQ诈骗犯”变种c
病毒长度：835584字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/QQFishing.c“QQ诈骗犯”变种c是“QQ诈骗犯”木马家族中的最新成员之一，采用VB语言编写，未经过添加保护壳处理。“QQ诈骗犯”变种c运行后，会在被感染计算机系统的Windows目录下释放木马程序“systnn.exe”，并调用执行。“systnn.exe”运行后，会在当前目录下释放另一木马程序并将其执行。这两个木马会在后台连接骇客指定的恶意站点，并反复弹出假冒的QQ公告和QQ气泡窗口，用以播放虚假的中奖信息，从而达到网络钓鱼的目的。在其所连接的恶意站点中，还存在利用微软MS07-017漏洞进行攻击的网页脚本病毒。该脚本病毒会在后台下载一些恶意程序并调用运行，干扰一些常见的安全软件，以降低被感染系统的安全性，为病毒实施更大的破坏创造了条件。

英文名称：Worm/AutoRun.xd
中文名称：“U盘寄生虫”变种xd
病毒长度：1512698字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.xd“U盘寄生虫”变种xd是“U盘寄生虫”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“U盘寄生虫”变种xd运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存。在被感染计算机系统的后台定时访问指定的恶意广告站点“http://hi.baidu.com/sil****ou”、“http://hida******.cn/ul.htm”等，提高这些恶意网站的访问量（网络排名），不仅给骇客带来了非法的经济利益，还严重地影响和干扰了用户对计算机的正常操作。另外，“U盘寄生虫”变种xd还会占用大量系统资源，极大地降低了系统的运行速度。“U盘寄生虫”变种xd会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”（自动播放配置文件）和病毒主程序文件（“U盘寄生虫”变种xd），以达到双击盘符激活“U盘寄生虫”变种xd的目的，从而利用硬盘、U盘、移动硬盘、SD卡等存储设备进行自我传播，给计算机用户带来更多潜在的安全威胁。另外，“U盘寄生虫”变种xd会修改系统注册表，实现蠕虫的开机自启动。

caobin

江民今日提醒您注意：在今天的病毒中Worm/AutoIt.j“多面杀手”变种j和TrojanSpy.Jiospy.b“隐形谍”变种b值得关注。

英文名称：Worm/AutoIt.j
中文名称：“多面杀手”变种j
病毒长度：126976字节
病毒类型：蠕虫
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoIt.j“多面杀手”变种j是“多面杀手”蠕虫家族中的最新成员之一，采用高级语言编写，未经过添加保护壳处理。“多面杀手”变种j在运行后，会将病毒文件复制到被感染计算机系统的“%ALLUSERSPROFILE%\Application Data\”目录下，并重新命名为“crazya.exe”。同时，还会将该病毒文件分别另存为“%windir%\debug\,.exe”和“%windir%\system32\isass.exe”。“多面杀手”变种j还能根据系统环境的不同，在“%ALLUSERSPROFILE%\Application Data\”下生成四种不同的“autorun.inf”文件。在后台秘密监视用户计算机上是否有移动存储设备，一旦发现有移动存储设备接入，便会将“autorun.inf”和病毒副本复制到其中，以达到通过U盘、移动硬盘等移动存储设备进行传播的目的。另外，该蠕虫会通过修改注册表启动项的方式来实现开机自动运行。

英文名称：TrojanSpy.Jiospy.b
中文名称：“隐形谍”变种b
病毒长度：32768字节
病毒类型：间谍类木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Jiospy.b“隐形谍”变种b是“隐形谍”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，未经过加壳保护处理。“隐形谍”变种b运行后，会自我复制到被感染计算机系统的“%SYSTEMROOT%\system32\”目录下，并重新命名为“system”（无扩展名）。将自身注入到其它进程中以隐藏自我，防止被用户和安全软件轻易发现、查杀。在后台连接骇客指定的URL“http://www.ho****me.com.cn/bot/ip.gif”，读取其中保存的IP地址并向其发送被感染主机的系统信息，使用户的私密信息受到不同程度的侵害。同时，该病毒还会创建一个批处理文件rs.bat到“%USERPROFILE%\Local Settings\Temp”目录中以将自身进行删除。另外，“隐形谍”变种b会自我注册为系统服务，以实现开机的自动运行。