zhaoyue

“RPCSS毒手”变种12.24预警
江民今日提醒您注意：在今天的病毒中Win32/Infectrpcss.a“RPCSS毒手”变种a和Trojan/Regrun.fg“注册表蛀虫”变种fg值得关注。

英文名称：Win32/Infectrpcss.a
中文名称：“RPCSS毒手”变种a
病毒长度：34304字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Win32/Infectrpcss.a“RPCSS毒手”变种a是“RPCSS毒手”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“RPCSS毒手”变种a运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“csrss.dll”，并释放病毒组件“sh01008.dll”到“%SystemRoot%\system32\”目录下。“RPCSS毒手”变种a是一个专门盗取“完美世界Online”、“诛仙Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。同时，“RPCSS毒手”变种a还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，千万不要在当前被感染计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同密码保护资料一同被骇客所盗取，给游戏玩家造成更加严重的损失。“RPCSS毒手”变种a还会利用域名映像劫持技术在被感染计算机的后台强行篡改系统Hosts文件，屏蔽某些网络游戏的官方站点，从而阻止了用户对这些网络游戏网站的访问，达到了用户在账号失窃后无法立即取回密码的目的。“RPCSS毒手”变种a还会利用进程守护技术来实现对自我的保护。该木马通过替换系统文件“rpcss.dll”的方式来实现开机后自动运行。如果安全软件直接查杀掉被木马替换的“rpcss.dll”文件的话，将会导致被感染计算机出现无法连接网络、系统复制（粘贴）功能失效、桌面程序“explorer.exe”启动缓慢等异常现象，严重地影响了用户对计算机系统的正常使用。

英文名称：Trojan/Regrun.fg
中文名称：“注册表蛀虫”变种fg
病毒长度：176640字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Regrun.fg“注册表蛀虫”变种fg是“注册表蛀虫”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“注册表蛀虫”变种fg运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，重新命名为“server.exe”，将创建时间修改为系统安装日期，并将该文件与原文件设置为系统、隐藏等属性。强行篡改注册表相关键值，对被感染计算机系统中的“显示系统隐藏文件”、“安全模式”、“系统还原”等功能进行破坏或关闭，从不同程度上干扰了被感染计算机系统的正常运行。“注册表蛀虫”变种fg运行时，会释放恶意DLL组件（KV2009检测为“Worm/AutoRun.bsv”）至内存指定区域中，随后强行关闭桌面进程“explorer.exe”，运行自身的副本后再将释放的DLL病毒文件注入到新启动的“explorer.exe”进程之中加载运行。在后台尝试连接骇客指定的远程站点“one-dream.g**p.net”，并将窃取到的用户私密信息发送到其中，使得被感染计算机用户的个人隐私受到了不同程度的侵害。另外，“注册表蛀虫”变种fg会通过在系统注册表启动项和其它项目中添加键值的方式来实现木马的开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

zhaoyue

“垃圾毒码”变种12.26预警
江民今日提醒您注意：在今天的病毒中Trojan/JunkCode.Gen“垃圾毒码”变种和Trojan/PSW.Yuyan.b“预言大盗”变种b值得关注。

英文名称：Trojan/JunkCode.Gen
中文名称：“垃圾毒码”变种
病毒长度：不唯一
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/JunkCode.Gen“垃圾毒码”变种是“垃圾毒码”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“垃圾毒码”变种在编写时，采用了大量的垃圾代码来达到免杀的目的。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行。在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。秘密窃取用户当前所使用系统的配置信息，并从骇客指定的远程服务器站点“http://www.wo*chi***xi.com.cn/update.php?id=%d&updateversion=%d”中下载其它恶意程序并调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会使用户面临更多不同程度的威胁。另外，“垃圾毒码”变种会在被感染计算机系统注册表启动项中添加键值，以此实现木马开机后的自启动。

英文名称：Trojan/PSW.Yuyan.b
中文名称：“预言大盗”变种b
病毒长度：14336字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Yuyan.b“预言大盗”变种b是“预言大盗”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，一般会被插入到“explorer.exe”及其所有用户级权限的进程中加载运行，隐藏了自我，防止被杀毒软件所查杀。“预言大盗”变种b是一个专门盗取“预言Online”网络游戏会员账号的木马程序，运行后会查找是否存在“预言Online”网络游戏，如果发现“预言Online”的游戏进程正在运行，便会通过消息钩子、内存截取等技术盗取“预言Online”网游玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码，甚至还包括玩家的密保资料等信息，并在后台将窃取到的账号相关信息发送到骇客指定的远程服务器站点“http://www.qq***shop.cn/”上，致使“预言Online”游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

zhaoyue

“隐形贼”变种12.27
江民今日提醒您注意：在今天的病毒中Trojan/Delux.h“隐形贼”变种h和Trojan/PSW.QQShou.id“QQ秀”变种id值得关注。

英文名称：Trojan/Delux.h
中文名称：“隐形贼”变种h
病毒长度：58928字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Delux.h“隐形贼”变种h是“隐形贼”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“隐形贼”变种h运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“myname5.exe”。在相同目录和“%SystemRoot%\system32\drivers\”目录下分别释放恶意DLL功能组件和恶意驱动文件，文件属性设置为“系统、隐藏”。将DLL组件注入到系统进程“lsass.exe”中加载运行，隐藏自我，防止被查杀。将病毒副本注册为系统服务，以此实现木马开机自动运行。运行后，在指定的目录下生成配置文件，并调用之前释放的恶意驱动程序来进行病毒文件及其进程、注册表项目的隐藏，防止了被用户和杀毒软件轻易地发现，提高了木马自身的生存几率。在后台监视系统中的移动存储设备，如果发现有新的移动存储设备接入时，便会向其中复制“隐形贼”变种h的副本和自动运行配置文件。同时，还会向除了系统分区之外的所有分区复制这些恶意文件，企图利用系统的自动运行特性来达到病毒传播的目的。另外，“隐形贼”变种h会自我删除，从而达到了消除痕迹的目的。

英文名称：Trojan/PSW.QQShou.id
中文名称：“QQ秀”变种id
病毒长度：16548字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQShou.id“QQ秀”变种id是“QQ秀”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“QQ秀”变种id运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“ravseteni.exe”。同时，还会在相同的目录中释放木马配置文件和运行时所需要的库文件。“QQ秀”变种id是一个专门盗取即时聊天工具“腾讯QQ”账号信息的木马程序，会在被感染计算机的后台秘密监视“腾讯QQ”的登陆窗口，一旦发现“QQ”程序启动时，便会利用键盘钩子、内存截取或封包截取等技术盗取用户所输入的账号信息，并在后台将窃取到的用户机密信息发送到骇客指定的邮箱中，给“腾讯QQ”的用户造成了不同程度的损失。同时，“QQ秀”变种id在运行时，还会遍历被感染系统中运行的所有进程，如果发现某些指定的安全软件存在时，就会尝试将其强行关闭，从而达到了自我保护的目的。另外，“QQ秀”变种id通过修改系统注册表启动项来实现木马的开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

zhaoyue

“MS08-067漏洞利用者”变种12.28
江民今日提醒您注意：在今天的病毒中Exploit.MS08-067.i“MS08-067漏洞利用者”变种i和Trojan/PSW.Chibi.e“赤壁贼”变种e值得关注。

英文名称：Exploit.MS08-067.i
中文名称：“MS08-067漏洞利用者”变种i
病毒长度：96256字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.MS08-067.i“MS08-067漏洞利用者”变种i是“MS08-067漏洞利用者”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“MS08-067漏洞利用者”变种i运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\oobe\”和“%SystemRoot%\AppPatch\”目录下，并分别重新命名。在被感染计算机系统中释放多个病毒功能组件，并将文件的创建时间设置为系统的安装日期，将文件的属性设置为“系统、隐藏”，以此来实现自我的伪装，达到了不被轻易发现和查杀的目的。在被感染计算机系统的后台遍历当前系统中运行的所有进程，一旦发现某些指定的安全软件存在便会尝试将其关闭，不仅在一定程度上干扰了安全软件的正常运行，还会使得被感染计算机系统面临着更多不同程度的威胁。“MS08-067漏洞利用者”变种i会将自身释放的所有病毒组件插入到“explorer.exe”及其所有用户级权限的进程中加载运行，之后便会自我删除，从而达到了消除痕迹的目的。同时，“MS08-067漏洞利用者”变种i还具有自升级的功能，达到逃避杀毒软件围剿的目的，提高了木马的生存几率和生存周期。“MS08-067漏洞利用者”变种i所释放出的病毒组件一般为网络游戏盗号木马、远程控制后门和恶意广告软件等，会给被感染的计算机系统造成更大的破坏。另外，“MS08-067漏洞利用者”变种i会通过修改注册表的方式来实现木马的开机自启动。

英文名称：Trojan/PSW.Chibi.e
中文名称：“赤壁贼”变种e
病毒长度：33644字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Chibi.e“赤壁贼”变种e是“赤壁贼”木马家族中的最新成员之一，采用“Borland Delphi”编写，是一个由其它恶意程序释放出来的DLL功能组件，一般会由其它恶意程序将其插入到“explorer.exe”进程及其所有用户级子进程中加载运行，隐藏了自我、防止被安全软件所查杀。“赤壁贼”变种e是一个专门盗取“完美国际”、“诛仙”、“武林外传”等网络游戏会员账号的木马程序，会遍历系统中的所有进程，当发现某些网络游戏存在时，便会通过消息钩子等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码，甚至包括玩家的密码保护资料等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、江民杀毒软件能够检测并自动修复系统漏洞，以阻止病毒利用系统漏洞进行传播。
    8、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

zhaoyue

“MSN性感鸡”变种12.29
江民今日提醒您注意：在今天的病毒中I-Worm/MSN.DropBot.c“MSN性感鸡”变种c和Trojan/PSW.Agent.aof“代理木马”变种aof值得关注。

英文名称：I-Worm/MSN.DropBot.c
中文名称：“MSN性感鸡”变种c
病毒长度：33792字节
病毒类型：网络蠕虫
危险级别：★★★
影响平台：Win 9X/ME/NT/2000/XP/2003
I-Worm/MSN.DropBot.c“MSN性感鸡”变种c是“MSN性感鸡”网络蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“MSN性感鸡”变种c运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，重新命名为“wkssvr.exe”，并将文件属性设置为“系统、只读、隐藏”。在被感染计算机系统后台连接骇客指定的IRC服务器，侦听骇客指令，执行DDos攻击、下载恶意程序、向MSN联系人群发“MSN性感鸡”变种c的ZIP压缩包等恶意操作。其中，所下载的恶意程序可能为网络游戏盗号木马、后门程序、远程监控木马等，会给被感染计算机用户造成更多不同程度的威胁和损失。“MSN性感鸡”变种c还可利用移动存储设备进行传播。在被感染计算机系统的后台监视移动存储设备是否接入，一旦发现便会向其根目录下创建自动运行配置文件“autorun.inf”和具有“系统、只读、隐藏”属性的文件夹“RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213”（图标伪装成“回收站”的图标），将自我复制到其中并重新命名为“autorunme.exe”，以此实现了利用系统自动播放特性进行激活、传播，同时达到了自我隐藏的目的，给计算机用户的信息安全造成了更加严重的侵害。另外，“MSN性感鸡”变种c会通过系统注册表启动项来实现开机自启动。

英文名称：Trojan/PSW.Agent.aof
中文名称：“代理木马”变种aof
病毒长度：23452字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.aof“代理木马”变种aof是“代理木马”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“代理木马”变种aof运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“pcpo32.exe”，并将文件的创建时间修改为系统安装日期，以此迷惑了用户。同时，还会在该目录下释放一个DLL病毒组件“pcpo32.dll”，并将其插入到“explorer.exe”及其所有用户级权限的进程中加载运行，从而隐藏了自我，防止被用户和杀毒软件轻易地发现与查杀。该DLL病毒组件是一个专门盗取“传奇”网络游戏玩家账号的木马，会通过内存截取、伪造窗口等技术和欺骗手段，窃取玩家的游戏账号、所在区服，甚至是密码保护资料等信息，并在后台将窃取到的这些信息发送到骇客指定的远程服务器站点中，给游戏玩家造成了不同程度的损失。同时，“代理木马”变种aof还会尝试结束某些安全软件的进程，以此实现了自我保护。还会从骇客指定的站点下载其它恶意程序，致使被感染计算机的用户面临着更多不同程度的威胁。“代理木马”变种aof在执行完毕后，会将自我删除，从而达到了消除痕迹的目的。另外，其会通过在注册表启动项中添加键值的方式来实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、禁用系统的自动播放功能，防止病毒通过U盘、移动硬盘、MP3等移动存储设备感染计算机。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

zhaoyue

“扯淡鬼”变种12.30预警
江民今日提醒您注意：在今天的病毒中Trojan/CDur.ap“扯淡鬼”变种ap和Trojan/Small.ftg“小不点”变种ftg值得关注。

英文名称：Trojan/CDur.ap
中文名称：“扯淡鬼”变种ap
病毒长度：86016字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/CDur.ap“扯淡鬼”变种ap是“扯淡鬼”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“扯淡鬼”变种ap运行后，会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放一个恶意DLL功能组件，同时还会将该组件复制到“%SystemRoot%\system32\”目录下重命名保存，并通过rundll32.exe将其调用。“扯淡鬼”变种ap所释放的病毒组件是一个多功能的远程控制木马服务器端。运行后会尝试与指定IP进行连接。如果连接成功，则被感染主机便会彻底的沦为一台受到骇客所控制的傀儡主机。骇客通过该木马，可以向被感染计算机发送各种指令并实施恶意操作，其中包括文件管理、注册表操作、键盘监听、鼠标控制等，给用户的计算机安全和个人隐私，甚至是商业机密均构成了严重的威胁。同时，骇客还可以通过该木马，向傀儡主机传送大量的恶意程序，致使被感染计算机用户面临更多不同程度的风险。另外，“扯淡鬼”变种ap会通过在被感染计算机中注册系统服务的方式，实现其释放组件的开机自动运行。

英文名称：Trojan/Small.ftg
中文名称：“小不点”变种ftg
病毒长度：44719字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Small.ftg“小不点”变种ftg是“小不点”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“小不点”变种ftg运行后，会在“C:\”下创建名为“kpp.log”的日志文件，用以记录木马的操作。还会在被感染计算机系统中的所有盘符根目录下创建“autorun.inf”和病毒程序文件“setup.exe”，以此实现双击盘符启动“小不点”变种ftg，从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的，增加了病毒感染计算机的几率，使得用户的信息安全受到不同程度的威胁。“小不点”变种ftg运行时，会在被感染计算机系统的后台连接骇客指定的远程服务器站点，下载大量的恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。另外，“小不点”变种ftg还会在被感染计算机的后台遍历当前系统中运行的所有进程，并尝试终止大量的安全软件及安全工具的运行，给计算机用户带来了巨大的安全隐患。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区，而是通过资源管理器中左侧的“树形目录”或在地址栏中输入盘符的方式进行访问。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

zhaoyue

“问道贼”变种12.31预警
江民今日提醒您注意：在今天的病毒中Trojan/PSW.Wendao.c“问道贼”变种c和I-Worm/VB.aaf“视频宝宝”变种aaf值得关注。
英文名称：Trojan/PSW.Wendao.c
中文名称：“问道贼”变种c
病毒长度：7680字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Wendao.c“问道贼”变种c是“问道贼”木马家族中的最新成员之一，采用高级语言编写。“问道贼”变种c在运行后，会将自身复制到被感染计算机系统的%SystemRoot%\system32\目录下，重新命名为“System.exe”，并设置文件属性为“隐藏”。在注册表启动项中添加键值，用以实现开机后木马的自动运行。同时，还会在“%SystemRoot%\system32\drivers”目录下释放恶意驱动程序“HBKernel32.sys”。在被感染计算机系统的后台恶意篡改注册表相关键值，以此达到干扰某些安全软件正常运行的目的。调用其它病毒释放的若干恶意DLL组件，并将这些DLL组件添加至注册表“AppInit_DLLs”键值下，以此达到开机后加载运行的目的。这些恶意DLL组件均为网络游戏盗号木马，运行后会在被感染计算机系统的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取多款网络游戏的账号、密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上 （地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。
英文名称：I-Worm/VB.aaf
中文名称：“视频宝宝”变种aaf
病毒长度：114688字节
病毒类型：网络蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
I-Worm/VB.aaf“视频宝宝”变种aaf是“视频宝宝”网络蠕虫家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，并且经过加壳保护处理。“视频宝宝”变种aaf运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“rundll.exe”，还会在“%USERPROFILE%\Local Settings\Temp\”目录中释放一个文件名随机的病毒文件。“视频宝宝”变种aaf可利用移动设备进行传播，会在被感染计算机系统中所有分区的根目录下创建“autorun.inf”和病毒主程序文件“rundll.exe”，以此实现双击盘符激活“视频宝宝”变种aaf，从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的，给被感染计算机用户造成了更多安全隐患。强行篡改注册表相关键值，致使用户计算机系统中“显示系统隐藏文件”的功能失效。同时，“视频宝宝”变种aaf还会将自身代码注入内存之中，从而实现隐藏运行，防止被轻易地发现，提高了自身的生存几率。“视频宝宝”变种aaf会在被感染计算机系统后台不断向随机的IP地址和端口发送垃圾数据包，从而耗费了系统资源与网络带宽。同时“视频宝宝”变种aaf还会从骇客指定站点下载大量的木马程序并调用运行，从而导致用户蒙受更大的财产损失。在被感染计算机系统中搜索有效的邮箱地址，然后利用自带的SMTP引擎群发带毒邮件，对互联网的整体安全环境造成了更大的破坏。另外，“视频宝宝”变种aaf会修改注册表，以此实现网络蠕虫开机自启动。
针对以上病毒，江民反病毒中心建议广大电脑用户：
    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、禁用系统的自动播放功能，防止病毒通过U盘、移动硬盘、MP3等移动存储设备感染计算机。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp
    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

zhaoyue

“网银窃贼”变种1.1预警
江民今日提醒您注意：在今天的病毒中TrojanSpy.Banker.svj“网银窃贼”变种svj和Packed.Klone.je“克隆先生”变种je值得关注。

英文名称：TrojanSpy.Banker.svj
中文名称：“网银窃贼”变种svj
病毒长度：449024字节
病毒类型：间谍类木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Banker.svj“网银窃贼”变种svj是“网银窃贼”间谍类木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，未经过添加保护壳处理。“网银窃贼”变种svj运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名保存。“网银窃贼”变种svj运行时，会将自身代码注入到内存中实现隐蔽运行。搜索被感染计算机上“Thunderbird”邮件客户端中的联系人和IE缓存中的敏感信息，并通过电子邮件等方式将用户的私密信息发送给骇客。在被感染计算机后台秘密监视移动存储设备的接入情况，当发现有移动存储设备接入时，便会在该设备的根目录下创建自动运行配置文件“autorun.inf”，还会建立一个具有“只读、系统、隐藏”属性的文件夹“RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542”，并将其图标伪装成“回收站”图标，然后将木马自身复制到其中并重新命名保存，达到了利用系统自动播放功能进行传播的目的。另外，“网银窃贼”变种svj通过在系统注册表启动项中添加键值的方式来实现开机自启。

英文名称：Packed.Klone.je
中文名称：“克隆先生”变种je
病毒长度：46592字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Klone.je“克隆先生”变种je是“克隆先生”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“克隆先生”变种je运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名保存。同时，还会在该目录下创建日志文件“BOOTLOG.txt”，用以记录木马的执行情况。“克隆先生”变种je运行时，会将自身代码注入到“svchost.exe”进程中，以此实现了隐蔽运行的目的，防止被轻易发现，提高了自身的生存几率。在被感染计算机的后台秘密监视用户打开的所有窗口，监听用户键盘输入，窃取某些站点或网络游戏的账号、密码等信息，并将窃取到的用户隐私信息等发送到骇客指定的邮箱中（地址加密存放），给被感染计算机的用户造成了不同程度的损失。另外，“克隆先生”变种je会创建系统服务，以此实现开机后的自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、禁用系统的自动播放功能，防止病毒通过U盘、移动硬盘、MP3等移动存储设备感染计算机。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

zhaoyue

“迷你贼”变种1.6预警
江民今日提醒您注意：在今天的病毒中Trojan/SmallGame.h“迷你贼”变种h和Trojan/AntiAV.eu“系统杀手”变种eu值得关注。

英文名称：Trojan/SmallGame.h
中文名称：“迷你贼”变种h
病毒长度：24576字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/SmallGame.h“迷你贼”变种h是“迷你贼”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“迷你贼”变种h是一个专门盗取“赤壁Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://221.*.*.139/tuleichibi/tulei001/post.asp”上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。同时，“迷你贼”变种h还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同玩家的密码保护资料一同被骇客盗取，给玩家造成更大程度上的损失。另外，“迷你贼”变种h会通过在系统注册表启动项中添加键值的方式来实现开机后木马的自动运行。

英文名称：Trojan/AntiAV.eu
中文名称：“系统杀手”变种eu
病毒长度：120864字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/AntiAV.eu“系统杀手”变种eu是“系统杀手”木马家族中的最新成员之一，采用高级语言编写，通过篡改系统服务的注册表项来实现开机自启。“系统杀手”变种eu运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL功能组件“bits.dll”（该病毒为后门），并修改文件的创建时间为系统安装日期，蒙蔽用户、隐藏自我，防止被查杀。“系统杀手”变种eu运行后，会判断某安全软件的窗口模块是否存在，并试图躲避该软件的主动防御功能。同时，还会通过恶意结束进程和篡改系统注册表的方式来干扰某些安全软件的正常运行，从而实现了木马的自我保护，提高了自身的生存几率。木马组件“bits.dll”在运行时，会打开并监听本地“8000”端口，并尝试连接骇客指定的IP，通过网络监听来窃取用户的信息，从而给被感染计算机用户的个人隐私信息甚至是企业的商业机密造成了不同程度的损失，严重地威胁到了计算机的信息安全。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

luxuexiang

版主 我遇到一个病毒！ 就是吧   .doc 和 .exl 变成 .exe   ; 请求 版主给个好的建议帮我去除病毒。