caobin

江民今日提醒您注意：在今天的病毒中TrojanSpy.Pophot.cho“焦点间谍”变种cho和Trojan/PSW.QQShou.ib“QQ秀”变种ib值得关注。

英文名称：TrojanSpy.Pophot.cho
中文名称：“焦点间谍”变种cho
病毒长度：79607字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.cho“焦点间谍”变种cho是“焦点间谍”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“焦点间谍”变种cho运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时，还会在相同目录与“%SystemRoot%\”目录下分别释放多个恶意DLL功能组件和配置文件。创建IE浏览器进程并将病毒文件注入其中加载运行，以实现更好的自我隐藏。修改注册表，实现木马的开机自动运行。在后台遍历当前系统的所有进程，如果发现指定安全软件存在时，便会尝试以多种方式将其结束，从而达到自我保护的目的。同时，该木马所释放的功能组件还可以通过鼠标模拟自动选择一些安全软件所弹出警示窗口的“允许”、“放行”等按钮，防止了病毒的恶意行为被安全软件所阻截。“焦点间谍”变种cho还会在后台连接骇客指定的URL“http://c*.*4s.com/cc.txt”，从中读取配置信息，并按照其中的设置进行网络攻击、木马下载的操作，致使被感染计算机用户受到更多不同程度的威胁，同时也影响了互联网的整体安全环境。另外，在“焦点间谍”变种cho木马及其释放的组件中，大量的数据、配置信息及所需调用的函数名都经过了二次加密处理，这样可以更好的达到逃避杀毒软件特征码检测、提高病毒自身生存几率的目的。

英文名称：Trojan/PSW.QQShou.ib
中文名称：“QQ秀”变种ib
病毒长度：45568字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.ib“QQ秀”变种ib是“QQ秀”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0 MFC”编写，并且经过加壳保护处理。“QQ秀”变种ib是一个木马生成器，用于生成盗取即时聊天工具“腾讯QQ”用户名和密码的木马病毒。其生成的木马可以在被感染计算机的后台秘密监视“腾讯QQ”的登陆窗口，然后利用键盘钩子、内存截取或封包截取等技术盗取QQ的账户信息，并在后台将窃取到的信息发送到骇客的指定邮箱中，给QQ用户造成了不同程度的财产损失，侵害了用户的合法权益。

caobin

我们先打开KV主界面，单击“工具”->“设置”，打开“江民设置程序”，找到“监视”下的“网页监控”，如图所示，我们看到了“网页监控”的选项，这里有必要解释一下网页监控的“监控模式”（确定要保护的对象），主要分“IE模式”和“所有”两种模式，一定有不少用户感到疑惑，竟究该选择哪一种呢？别慌，我在这里先给大家解释一下：

    所谓“IE模式”：就是理论上KV的“网页监控”将保护所有采用IE为内核的浏览器(IE是Microsoft的产品，集成在Windows环境中，是系统默认浏览器)，但并不是100%，这个选项推荐给普通用户使用。

    而“所有”模式：简单的说就是无论你采用什么浏览器以及其它联网程序，只要是基于Http的，KV都将进行监控，以保护您的安全，这个选项推荐给安装了多个浏览器的高级用户使用，当然如果你不知道该如何设置，“所有”模式也是不错的选择。

    "网页监控"下的IE模式和所有模式对网址黑名单的影响：
    "如果你使用火狐和傲游2等浏览器请使用所有模式  因为有时候IE模式不能你设置黑名单网站时候进行限制如果使用IE6和IE7就可以放心的使用IE模式了"

    “网页监控模式”设置完了，“检查方式”（进行网络监控时采取的检查数据的方式），也很重要哦，别着急，这是最后一步啦，“检查方式”主要分为“快速检查”和“流速检查”两种。

    KV上已经说得很清楚了:
    1.“快速检查”：效果好，安全性检查更严格，彻底剿灭网页病毒，适用于网速快的情况；
    2.“流式检查”：适用于网速罗慢的情况，效果不如“快速检查”，但保证用户安全是绝对没问题的，请放心使用。

    究竟用户该如何选择才可以不影响网还又能保证安全呢，笔者经过测试，推荐网络下载速度能达到200KB/s(不含200KB/s)以上的用户可以选择快速检查，而在200Kb/s的用户就推荐使用流式检查了，不会测速也不要紧，简单的说就是感觉你的网速够快的话就选择“快速检查”，感觉网速慢的话就选择“流式检查”。

    当然开启了“网页监控”安全性增强了，换来的就是0.5秒左右的打开网页的延迟，这个延迟根据用户的网速影响而不同，不过都在用户的接受范围，经过了设置，浏览网页是不是相当流畅啊？这里还强烈推荐您把您使用的浏览器加入到ＫＶ的白名单中，这样运行浏览器就会更加稳定～恭喜您从此以后与假死告别，在KV2008金钟罩的保护下您可以安心的上网啦~


    为了让KV2008的“网页监控”能在不影响用户使用的情况下更好的保护大家的安全，笔者特地在此下载安装了多个浏览器，分别进行测试，测试标准为分别使用相应的浏览器打开带病毒的网页，查看KV是否能拦截，当然这个测试标准因测试环境不同，可能会有不同的结果，这里仅仅是推荐给大家，笔者不承担任何责任。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/StartPage.byo“初始页”变种byo和Trojan/PSW.WOW.i“魔兽贼”变种i值得关注。

英文名称：Trojan/StartPage.byo
中文名称：“初始页”变种byo
病毒长度：65536字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.byo“初始页”变种byo是“初始页”木马家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“初始页”变种byo运行后，会自我复制到被感染计算机系统中所有盘符根目录下并重新命名保存。同时，还会在C盘根目录下释放其它恶意文件。在注册表启动项中添加键值，以达到开机自动运行的目的。隐藏桌面原有的IE图标，并将伪造的IE快捷方式放置于桌面与快速启动栏中。强行篡改IE浏览器首页设置，使得用户在打开IE浏览器时便会自动连接到骇客指定的站点，提高了这些网站的访问量，给骇客带来了非法的经济利益。“初始页”变种byo还会与其释放的病毒文件实现进程守护，从而增加了用户和杀毒软件在查杀时的难度，提高了病毒自身的生存几率。同时，“初始页”变种byo及其释放的病毒文件会定时地弹出恶意广告网页或窗口，不仅给骇客带来了经济利益，还严重地影响了系统的运行速度，干扰了用户对计算机的正常操作，使得用户受到更多不同程度的侵扰。另外，“初始页”变种byo还会自动连接骇客指定的URL“http://if***w.com/a.txt”，并根据其中的地址下载恶意程序至本地并调用运行，致使被感染计算机用户遭受更多的安全威胁。

英文名称：Trojan/PSW.WOW.i
中文名称：“魔兽贼”变种i
病毒长度：44612字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.WOW.i“魔兽贼”变种i是“魔兽贼”木马家族中的最新成员之一，采用Delphi编写，是一个由其它恶意程序释放出来的DLL功能组件。“魔兽贼”变种i是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序，会由其它恶意程序将其插入到“explorer.exe”及其所有用户级权限的进程中加载运行。在被感染系统后台秘密监视所运行的程序，如果发现“魔兽世界”进程的存在，便会利用消息钩子和内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQGame.hz“QQ游贼”变种hz和TrojanDropper.Agent.qhx“代理木马”变种qhx值得关注。

英文名称：Trojan/PSW.QQGame.hz
中文名称：“QQ游贼”变种hz
病毒长度：16384字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQGame.hz“QQ游贼”变种hz是“QQ游贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。该病毒是一个专门盗取“QQ自由幻想”网络游戏账号信息的木马程序，会被插入到“explorer.exe”及其所有用户级子进程中加载运行，运行后会检查自身所属进程是否为“QQffo.exe”。当发现自身所属进程确为“QQffo.exe”时，则通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级，甚至是密码保护资料等信息，之后会在后台将窃取到的玩家机密信息发送到骇客指定的远程站点上，致使网络游戏玩家的账号信息等丢失，遭受不同程度的财产损失。

英文名称：TrojanDropper.Agent.qhx
中文名称：“代理木马”变种qhx
病毒长度：5632字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.qhx“代理木马”变种qhx是“代理木马”木马家族中的最新成员之一，采用高级语言编写，经过花指令保护处理。“代理木马”变种qhx运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意驱动程序“antisg.sys”，并且通过创建服务“antisg”来实现木马的加载。该驱动文件的主要目的是为了破坏“地下城与勇士”、“QQ三国”等游戏的保护功能，破坏成功之后，“代理木马”变种qhx便会删除之前所创建的病毒文件和系统服务并退出运行，以销声匿迹。

caobin

江民反病毒中心监测到，微软浏览器IE7出现一个高危0day漏洞，表现为IE7浏览器在处理畸形XML时，可以导致任意代码执行。目前网上已经出现专门攻击该漏洞的恶意代码。黑客可能利用该最新漏洞，制作各种恶意网页，疯狂传播木马病毒。


  江民反病毒专家介绍，从他们目前掌握的恶意攻击代码样本分析来看，受该漏洞影响的操作系统包括Windows XP，Windows 2003的IE7用户。其它IE版本用户不受影响。截止发稿前，微软尚无针对该漏洞的补丁程序或其它临时解决方案发布。特别值得注意的是，目前攻击该漏洞的恶意代码已经在网上公开发布，预计短期内利用该漏洞的恶意网页会大量出现，希望电脑用户能够足够重视该漏洞可能带来的互联网威胁。

  江民反病毒专家正在进一步密切监控相关该漏洞的恶意代码，及时升级江民杀毒软件病毒库，请用户开启杀毒软件实时监控和网页防木马墙功能，以避免遭受病毒侵害。此外，在微软没有发布补丁程序之前，江民反病毒专家建议用户换用其它版本的IE浏览器（例如：firefox），可以有效避免受到该漏洞的影响。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.p“斯莱德”变种p和Trojan/PSW.GamePass.ahhb“网游大盗”变种ahhb值得关注。

英文名称：Trojan/Slefdel.p
中文名称：“斯莱德”变种p
病毒长度：754688字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.p“斯莱德”变种p是“斯莱德”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种p运行后，会自我复制到被感染计算机系统的“%CommonProgramFiles%\Microsoft Shared\MSInfo”目录下，并重新命名为“R_Server.exe”。同时，在被感染计算机中创建系统服务，以实现木马的开机自启动。“斯莱德”变种p在被感染计算机系统中安装完毕后，会通过启动服务的方式来激活自身副本，并在系统目录下创建批处理文件“Deleteme.bat”，以达到删除自我、消除痕迹的目的。副本被激活后，会首先创建IE浏览器进程并将自身代码注入其中运行，之后会将副本的原始进程结束，从而实现更深层次的隐蔽运行，防止被用户和杀毒软件轻易地发现和查杀。在后台尝试连接骇客指定的远程站点“125.*.*.77:800”，致使被感染计算机成为骇客恣意侵害的肉鸡。骇客利用“斯莱德”变种p可以远程对被感染计算机进行任意操作，其中包括“文件操作”、“注册表操作”、“屏幕监控”、“键盘监听”、“鼠标控制”，甚至是“摄像头抓图”等，对计算机用户的个人隐私和信息安全造成了严重的侵犯，甚至还可能会导致商业机密的泄露，使用户遭受更大的损失。另外，骇客还能向被感染计算机发送大量的恶意软件，使得被感染计算机用户面临更多不同程度的威胁。

英文名称：Trojan/PSW.GamePass.ahhb
中文名称：“网游大盗”变种ahhb
病毒长度：28672字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GamePass.ahhb“网游大盗”变种ahhb是“网游大盗”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放出来的DLL功能组件。“网游大盗”变种ahhb运行后，会解密所需要的重要API函数和链接库名称，并将“%SystemRoot%\system32\WS2_32.dll”复制到被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下，重新命名为“ztfast_32.dll”，以方便自身调用。“网游大盗”变种ahhb是一个专门盗取“天龙八部”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，一旦发现带有“天龙八部”字样的窗口，便会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器中，致使游戏账号等信息丢失，给网游玩家带来不同程度的损失。

caobin

江民反病毒中心监测到，利用微软最新IE70DAY漏洞传播病毒的恶意网页在网上大量涌现。距该漏洞被公布仅一天时间，江民反病毒中心已监测到网上已出现利用IE7 0DAY漏洞的网页75个，这些恶意网页分布在全球49个黑客站点上。

   江民反病毒中心恶意网页监测系统数据显示，在10日监测发现的所有恶意网页中，IE7 0DAY漏洞的利用率约为5%。反病毒专家担心，按照目前这种恶意网页的增长速度，预计未来一段时间，利用该漏洞的恶意网页会更加泛滥。

   由于微软至今仍然没有发布相关漏洞补丁，为了减少该漏洞可能带来的计算机病毒的疯狂传播，江民反病毒中心紧急研发推出IE70DAY漏洞补丁程序，免费提供给所有电脑用户下载使用，可有效避免电脑遭受针对该漏洞的病毒侵害。

   江民IE70DAY漏洞补丁程序下载地址：   
http://filedown.jiangmin.com/KVIEXMLPatch.exe

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Element.k“毒素”变种k和Trojan/PSW.QQShou.ic“QQ秀”变种ic值得关注。

英文名称：Trojan/PSW.Element.k
中文名称：“毒素”变种k
病毒长度：25088字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Element.k“毒素”变种k是“毒素”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“毒素”变种k运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒文件“sh17017.exe”并调用运行。“sh17017.exe”运行后，会释放恶意驱动文件“antisg.sys”至“%SystemRoot%\system32\”目录下，并通过创建系统服务来加载该驱动程序。该驱动的主要目的是破坏“地下城与勇士”等腾讯公司网游的保护功能，破坏成功之后，“sh17017.exe”便会将释放的驱动和创建的系统服务删除并退出运行，以达到销声匿迹的目的。“毒素”变种k本身则是一个专门盗取网游“地下城与勇士”会员账号的木马程序，会在被感染计算机的后台查找是否存在指定的游戏进程。如果发现这些进程的存在，则会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“毒素”变种k还会强行篡改系统hosts文件，以阻止对一些游戏官方网站的访问。

英文名称：Trojan/PSW.QQShou.ic
中文名称：“QQ秀”变种ic
病毒长度：17576字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.ic“QQ秀”变种ic是“QQ秀”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0 MFC”编写，并且经过加壳保护处理。“QQ秀”变种ic运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时，还会在该目录下释放其它的附属模块。修改注册表启动项，以实现木马开机后的自动运行。在被感染计算机后台遍历当前系统中运行着的进程，如果发现某些指定的安全软件存在时，就会尝试将其结束，以达到自我保护的目的。“QQ秀”变种ic是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序，会在被感染计算机的后台秘密监视QQ的登陆窗口，然后利用键盘钩子、内存截取或封包截取等技术盗取账户信息，并在后台将窃取到的信息发送到骇客指定的邮箱中，致使感染该木马的QQ用户蒙受不同程度的财产损失。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.SHQZ.b“水浒大盗”变种b和Trojan/StartPage.bym“初始页”变种bym值得关注。

英文名称：Trojan/PSW.SHQZ.b
中文名称：“水浒大盗”变种b
病毒长度：28672字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.SHQZ.b“水浒大盗”变种b是“水浒大盗”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“水浒大盗”变种b是一个专门盗取“水浒Q传”网络游戏会员账号的木马程序，会被注入到“explorer.exe”及其所有用户级权限的进程中加载运行。运行后在系统后台对指定进程进行监视，如果发现指定程序的运行，便会通过键盘钩子截获网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://www.wom***age.cn/biyi1/mail.asp”上，致使网游玩家游戏账号及其相关信息丢失，从而给游戏玩家造成不同程度的财产损失。另外，“水浒大盗”变种b还会在被感染计算机中自我注册为系统服务，实现木马开机后的自动运行。

英文名称：Trojan/StartPage.bym
中文名称：“初始页”变种bym
病毒长度：9728字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/StartPage.bym“初始页”变种bym是“初始页”木马家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“初始页”变种bym运行时，会强行篡改系统注册表，将IE浏览器默认首页设置为某搜索引擎。同时，关闭、禁用“Windows安全中心”和“Windows防火墙”，降低了被感染计算机的安全性。在后台连接骇客指定的站点，下载名为“antivirus2009”的木马并强行安装。该木马会将自身伪装成杀毒软件，弹出虚假信息提示用户的计算机被病毒感染，在后台下载大量的恶意程序到被感染的系统中，致使计算机面临着极大的安全威胁和风险。另外，骇客还指定了许多其它的下载地址，不仅起到了更好的传播效果，还给不法分子谋取不正当利益提供了更多途径。

caobin

江民今日提醒您注意：在今天的病毒中Packed.Klone.jy“克隆先生”变种jy和Trojan/PSW.Tibia.lu“Tibia游贼”变种lu值得关注。

英文名称：Packed.Klone.jy
中文名称：“克隆先生”变种jy
病毒长度：385024字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Klone.jy“克隆先生”变种jy是“克隆先生”木马家族中的最新成员之一，采用Delphi编写，并且经过加壳保护处理。“克隆先生”变种jy运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，并重新命名为“saber.exe”。自我注册为系统服务，以此实现木马的开机自启动。“克隆先生”变种jy安装完毕后，会在“%SystemRoot%\system32\”下创建“Deleteme.bat”以将病毒原始程序删除，从而到达消除痕迹、隐藏自我的目的。“克隆先生”变种是一个功能强大的木马服务端。运行后，会创建“Winlogon”进程并自我注入其中隐蔽运行。在后台不断连接骇客指定站点，如果连接成功，就会接收骇客的恶意控制指令，使得被感染计算机成为任人控制的傀儡主机。骇客可通过“克隆先生”变种jy对被感染计算机进行任意操控，其中包括文件操作、进程控制、注册表操作、屏幕监控、键盘监听、摄像头抓图、鼠标控制等，严重的侵犯了用户的信息安全和个人隐私，甚至还可能对商业机密造成无法估量的损失。同时，骇客还可能利用“克隆先生”变种jy向被感染计算机传送大量的病毒、木马等恶意程序，从而使得用户面临更大程度的安全威胁。

英文名称：Trojan/PSW.Tibia.lu
中文名称：“Tibia游贼”变种lu
病毒长度：375838字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Tibia.lu“Tibia游贼”变种lu是“Tibia游贼”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“Tibia游贼”变种lu运行后，会通过调用系统命令的方式自我复制到被感染计算机系统的“%USERPROFILE%\「开始」菜单\程序\启动\”目录下，重新命名为“lsass.exe”，以此实现木马的开机自动运行。“Tibia游贼”变种lu是一个专门盗取风靡欧洲的“Tibia”网络游戏会员账号的木马程序，会在被感染计算机系统的后台秘密监视运行着的所有应用程序的窗口标题，一旦发现“Tibia”的窗口存在，便会利用内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、物品、金钱等丢失，给游戏玩家造成不同程度的损失。