08年04月24日病毒及木马预警

在今天的病毒中TrojanDownloader.JS.Agent.fy（“代理木马”变种fy）值得关注

    一、Win32.Troj.AVKiller.ex.106496（“AV终结者变种106496”）病毒类型：后门，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Win32.Troj.AVKiller.ex.106496（“AV终结者变种106496”）AV终结者又一次成为了毒霸反病毒工程师们注意的目标。在近日统计的病毒传播趋势资料中，AV终结者的一个变种显得十分活跃，这也许与有人故意进行传播有关。

　　该病毒进入系统后执行的操作，与以前的版本基本无异，都是先释放出病毒文件，然后修改系统注册表实现自动启动，并紧接着执行映象劫持，将用户系统中安装的安全软件弄瘫痪，以便于病毒以后的破坏操作。病毒释放出的文件wuauc1t.exe和sssurl.dll会被伪装成系统文件，隐藏在%WINDOWS%根目录下。

　　为防止用户进行手动查杀，病毒修改注册表中的相关数据，使中毒电脑无法显示隐藏的文件和系统文件，这样一来，当病毒把自己伪装成系统文件并设置隐藏模式后，用户就无法找到它们。同时，病毒还会禁止用户进入安全模式和打开注册表编辑器，以便长久地在电脑中驻留下去。并且，病毒会在每一个磁盘分区的根目录下生成一个explorer.exe文件和AUTORUN.INF文件，当用户在中毒电脑上使用U盘等移动存储设备时，病毒就会趁机将其感染。

　　最后，病注入系统桌面进程和其它非系统进程中，隐蔽地运行自己，从病毒作者指定的地址下载大量盗号木马，将用户系统中有价值的信息盗窃一空，引发无法估计的损失。

    二、Worm.AutoRuns.m（“恶心莲蓬下载器”）病毒类型：间谍类木马，依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Worm.AutoRuns.m（“恶心莲蓬下载器”）这个病毒是一个木马下载器的变种。它在系统中运行起来后，会释放出数量惊人的病毒文件，这些病毒文件都集中在系统盘中，其中大部分位于%windows%\system32\目录下。如果用户看到那长长的文件列表，并饱尝该毒的伤害，会觉得像看了近来网上流行的“莲蓬图”一般恶心。

　　在释放文件的同时，病毒会感染硬盘中全部的的.exe、.htm、html文件，并删除%windows%\system32\目录下的系统补丁文件verclsid.exe，让自己接下来的破坏更顺利。接着，病毒替换掉%windows%目录下的系统桌面进程explorer.exe。

　　在病毒释放出的若干文件中，%windows%\system32\目录下的75132.dat和%windows%\system32\目录下的urjuujdw.hew，值得注意。这两个进程相互配合，指挥%windows%\system32\目录下的msosdohs00.dll和%windows%\system32\目录下的msosdohs01.dll插入系统核心进程、explorer.exe进程以及包括安全软件在内的所有应用程序进程。执行破坏还原保护、关闭防火墙、破坏系统监视软件、阻止用户进入桌面、安装恶意插件等动作。

　　最后，病毒链接病毒作者指定的远程地址，下载27个病毒文件。其中包括由0至25的数字命名的exe文件，以及一个名为oko.exe的文件。经毒霸反病毒工程师的分析，这些文件都是盗号木马，如果成功进入电脑，将引起无法估计的更大损失。

    三、TrojanDownloader.JS.Agent.fy（“代理木马”变种fy）病毒类型：后门病毒，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    TrojanDownloader.JS.Agent.fy（“代理木马”变种fy）是“代理木马”木马家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用影音播放器软件溢出漏洞传播其它病毒。“代理木马”变种fy一般内嵌在正常网页中，如果用户计算机没有及时升级修补“暴风影音媒体播放器”相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种fy的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

    四、Trojan/PSW.JiangHu.hk（“江湖”变种hk）病毒类型：盗号木马病毒，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Trojan/PSW.JiangHu.hk（“江湖”变种hk）是“江湖”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“江湖”变种hk运行后，自我复制到被感染计算机系统的%SystemRoot%\system32\目录下，并重新命名为“comr3260.dll”。自我注册为系统服务，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取《热血江湖》网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《热血江湖》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“江湖”变种hk执行完毕安装操作后，安装程序会自我删除。
   
    五、Trojan.PSW.Win32.GameOL.nbq（“线上游戏窃取者”变种NBQ）病毒类型：后门病毒，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista
    Trojan.PSW.Win32.GameOL.nbq（“线上游戏窃取者”变种NBQ） 这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年04月25日病毒及木马预警

在今天的病毒中Trojan.Clicker.Win32.PopHot.dsw（“POPHOT点击器”变种DSW）值得关注

    一、TrojanDownloader.BHO.q（“BHO劫持者”变种q）病毒类型：木马下载器，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    TrojanDownloader.BHO.q（“BHO劫持者”变种q）是“BHO劫持者”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“BHO劫持者”变种q运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“cftmon.exe”，并在相同目录下释放病毒组件“mshyta16.dll”。修改注册表，实现木马开机自动运行。在后台秘密监视浏览器窗口，一旦发现用户登陆某些在线交易站点，便显示虚假登陆窗口，诱导用户输入在线交易的账号、密码，或者重新打开一个IE浏览器窗口，以安全为由诱导用户输入账号、信用卡密码等重要信息，窃取用户输入的机密信息并发送给骇客，从而给用户带来非常大的损失。另外，“BHO劫持者”变种q还会连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

    二、Worm/Viking.azy（“威金”变种azy）病毒类型：蠕虫，依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Worm/Viking.azy（“威金”变种azy）是“威金”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“威金”变种azy是由“威金”病毒主体释放出的病毒组件，用于插入“explorer.exe”、“iexplore.exe”等进程实现病毒主要功能以及隐藏自我，躲避查杀。查找并强行关闭大量安全软件，阻止某些安全软件的运行，大大地降低了被感染计算机的安全性。利用密码字典破解弱密码，访问网络共享文件夹，感染网络共享文件夹下的*.exe文件，实现网络共享传播。在被感染计算机的后台下载大量恶意软件并自动运行。这些恶意软件可窃取《魔兽世界》、《征途》等多款网络游戏木马，造成玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

    三、Trojan.Clicker.Win32.PopHot.dsw（“POPHOT点击器”变种DSW）病毒类型：后门病毒，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista
    Trojan.Clicker.Win32.PopHot.dsw（“POPHOT点击器”变种DSW） 这是一个木马病毒。病毒运行后会将自身复制到系统目录下，并释放多个病毒文件。并且，病毒会注入到系统正常进程，试图关闭多种主流杀毒软件和安全工具，以及把自身添加到防火墙信任列表，以此躲避防火墙在病毒刷新页面时的拦截。病毒还会利用浏览器频繁地刷新页面并点击页面广告等，使用户上网和计算机运行速度缓慢甚至死机，同时也造成用户宽带流量的极大浪费。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年04月26日病毒及木马预警

  在今天的病毒中Trojan.Win32.Undef. esr（安德夫木马变种ESR），Exploit.HTML.IframeBof.ab（“Iframe溢出者”变种ab）,Trojan/PSW.Magania.cfz（“玛格尼亚”变种cfz）值得关注。

    一、Trojan.Win32.Undef. esr（安德夫木马变种ESR）病毒类型：木马病毒，危险级别：★★★，影响系统：WINNT/2000/XP/2003
    Trojan.Win32.Undef. esr（安德夫木马变种ESR）是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

    二、Exploit.HTML.IframeBof.ab（“Iframe溢出者”变种ab）病毒类型：脚本病毒,  危险级别：★★，影响系统：Win 9X/ME/NT/2000/XP/2003。
        Exploit.HTML.IframeBof.ab（“Iframe溢出者”变种ab）是“Iframe溢出者”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用搜索工具条软件的漏洞传播其它病毒。“Iframe溢出者”变种ab一般内嵌在正常网页中，如果用户没有及时升级修补搜索工具条软件相应的漏洞补丁，那么当用户使用浏览器访问带有“Iframe溢出者”变种ab的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，用户一旦打开带有“Iframe溢出者”变种ab的恶意网页时，还会弹出广告窗口，干扰用户的正常工作和上网。

    三、Trojan/PSW.Magania.cfz（“玛格尼亚”变种cfz）病毒类型：木马，危险级别：★★，影响系统：Win 9X/ME/NT/2000/XP/2003。
    Trojan/PSW.Magania.cfz（“玛格尼亚”变种cfz）是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种cfz运行后，在“%SystemRoot%\help\”目录下释放组件“F3C74E3FA248.dll”。修改注册表，实现木马开机自动运行。采用HOOK技术和内存截取技术，在被感染计算机的后台监视用户打开的窗口标题，盗取《黄易群侠传》、《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种cfz还会在被感染计算机上下载更多的恶意软件，给网络游戏玩家带来非常大的损失。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年04月27日病毒及木马预警

  在今天的病毒中TrojanDownloader.Mutant.af（“突变王”变种af）值得关注

    一、Trojan.Win32.Undef. fmi（“安德夫木马”变种FMI）病毒类型：木马下载器，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Trojan.Win32.Undef. fmi（“安德夫木马”变种FMI）  这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

    二、TrojanDownloader.Mutant.af（“突变王”变种af）病毒类型：木马下载器，依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    TrojanDownloader.Mutant.af（“突变王”变种af）是“突变王”木马下载器家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“突变王”变种af运行后，在被感染计算机系统的临时目录下释放病毒文件“loader1.exe”和“setup.exe”。修改注册表，实现木马开机自动运行。修改注册表，更改文件关联，实现用户一运行EXE程序就会先运行病毒程序。在被感染计算机系统的后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、
后门等，给用户带来不同程度的损失。

    三、Backdoor/Nepoe.ak（“泥坡”变种ak）病毒类型：后门病毒，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista
    Backdoor/Nepoe.ak（“泥坡”变种ak） 是“泥坡”后门家族的最新成员之一，采用高级语言编写，并经过加壳处理。“泥坡”变种ak运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“csrs.exe”。修改注册表，实现“泥坡”变种ak开机自动运行。连接到骇客指定的IRC服务器，侦听骇客指令，窃取被感染计算机上的文件；发起DDOS攻击。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年04月28日病毒及木马预警

在今天的病毒中Backdoor.Win32.Gpigeon2007. a（“灰鸽子”变种A）值得关注

    一、Exploit.JS.Real.y（“Real蛀虫”变种y）病毒类型：脚本病毒，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Exploit.JS.Real.y（“Real蛀虫”变种y）是“Real蛀虫”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种y一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种y的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

    二、Trojan/Beep.Gen（“喇叭贼”变种）病毒类型：木马下载器，依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Trojan/Beep.Gen（“喇叭贼”变种）是木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳处理。“喇叭贼”变种运行后，在被感染计算机系统的临时文件夹下释放恶意驱动文件和恶意DLL组件文件，并将文件属性设置为隐藏、存档。将这两个恶意文件复制到系统%SystemRoot%\system32\目录下，同时将恶意驱动文件命名为“msosmsfpfis64.sys”，将恶意DLL组件文件命名为“msosping00.dll”。将恶意驱动文件“msosmsfpfis64.sys”注册为系统服务，用来还原系统“SSDT HOOK”，躲避某些安全软件的防御和查杀。修改注册表，实现木马开机自动运行。将恶意DLL组件文件插入到所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《QQ华夏》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《QQ华夏》玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来极大的损失。

    三、Backdoor.Win32.Gpigeon2007. a（“灰鸽子”变种A）病毒类型：后门病毒，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista
    Backdoor.Win32.Gpigeon2007. a（“灰鸽子”变种A）该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年04月29日病毒及木马预警

在今天的病毒中Trojan/PSW.GameDLL2.Gen（“游戏窃贼2”变种）值得关注

    一、TrojanSpy.Zbot.p（“砸波”变种p）病毒类型：间谍类木马，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    TrojanSpy.Zbot.p（“砸波”变种p）是“砸波”木马家族的最新成员之一，采用高级语言编写， 并经过加壳处理。“砸波”变种p运行后，在“%SystemRoot%\system32\”目录下创建病毒体“ntos.exe”，并在“%SystemRoot%\system32\wsnpoem\”目录下释放文件“audio.dll”。修改注册表，实现木马开机自动运行。自我注入到所有进程中（除CSRSS.EXE外）并调用运行，保护病毒体不被复制、删除。破坏多款防火墙程序，窃取被感染计算机上用户的私密信息并发送给骇客，大大降低了被感染计算机上的安全性。另外，“砸波”变种p可能会破坏用户计算机系统内的某些应用程序、数据库、压缩文件、图片、文档等，给用户带来极大的损失。

    二、Trojan/PSW.GameDLL2.Gen（“游戏窃贼2”变种）病毒类型：木马下载器，依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Trojan/PSW.GameDLL2.Gen（“游戏窃贼2”变种）木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“游戏窃贼2”变种运行后，将DLL组件程序插入到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取《魔兽》、《完美世界》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来不同程度的损失。

    三、Worm.Win32.Diskgen（“磁碟机”）病毒类型：木马，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    Worm.Win32.Diskgen（“磁碟机”） 这是一个MFC写的感染型病毒。病毒运行后，会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件，实现进程保护，使杀毒软件很难彻底查杀。除了关闭杀毒软件之外，磁碟机病毒还会从http://**.c0mo.com、http://**.k0102.com等网站下载数十个木马盗号病毒，试图窃取用户的网游账号装备、网银密码等私密信息。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年04月30日病毒及木马预警

在今天的病毒中Trojan/PSW.GameDLL2.Gen（“游戏窃贼2”变种）值得关注

    一、Trojan.Win32.Undef. jy（“安德夫木马”变种JY）病毒类型：间谍类木马，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Trojan.Win32.Undef. jy（“安德夫木马”变种JY） 这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

    二、VBS.Downloader.za.1793（“窗户窟窿下载器”）病毒类型：木马下载器，依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    VBS.Downloader.za.1793（“窗户窟窿下载器”）这个下载器体积非常小，它利用网页挂马和感染VBS文件等方式来进行传播的。在顺利进入用户系统后，它会搜索系统中是否未安装MS06-014补丁，如果没有安装，那么病毒就可以利用WINDOWS系统的Microsoft Data Access Components (MDAC) 漏洞实现启动，在后台悄悄连接病毒作者指定的地址http://www.ley***8.cn/。

　　当连接成功，病毒就会开始下载其它病毒程序，这个过程与其它的木马下载器无异。被下载的病毒程序会被保存到用户电脑系统的临时目录中，名称为5713.exe。

　　随后，该文件自动启动，释放出大量木马程序和间谍软件，盗窃用户系统中有价值的数据资料。

    三、Win32.Troj.OnlineGamesT.ee.94208（“网游盗号木马94208”）病毒类型：木马，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    Win32.Troj.OnlineGamesT.ee.94208（“网游盗号木马94208”）这是一个原理简单的盗号木马，大部分安全软件都可以查杀它，但毒霸反病毒工程师们发现，该木马近来在多个对抗型下载器的下载列表中频繁出现，因此发出预警。提醒大家注意。

　　病毒进入系统后，枚举系统上进程，查找系统桌面进程explorer.exe ，将病毒文件 注入其进程空间，在其中隐蔽运行，并进一步搜索《问道》、《破天一剑》、《剑侠情缘2》、《魔兽世界》等多个网络游戏和《浩方》网络对战平台的进程。如有发现，则展开全局监视，注入到游戏内存中，读取帐号和密码。

　　盗窃成功后，病毒便在后台悄悄连接病毒作者指定的网址，将赃物上传，给用户造成虚拟财产的损失。

　　习惯手动查杀的用户，可以在系统盘中找到该病毒释放出的病毒文件，分别为%WINDOWS%目录下的病毒主文件MsIMMs32.exe，以及%WINDOWS%\system32\目录下，用于执行盗号动作的MsIMMs32.dll。其中，主文件的数据会被写入系统注册表，以实现自动运行。

    四、TrojanDownloader.JS.Agent.fz（“代理木马”变种fz）病毒类型：木马下载器，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    TrojanDownloader.JS.Agent.fz（“代理木马”变种fz）是“代理木马”木马家族的最新成员之一，利用影音播放器软件溢出漏洞传播其它病毒，采用javascript脚本语言编写，并且经过加密处理。“代理木马”变种fz一般内嵌在正常网页中，如果用户计算机没有及时升级修补影音播放器软件相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种fz的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

    五、Adware/Cinmus.Gen（“赛门斯”变种）病毒类型：广告程序，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    Adware/Cinmus.Gen（“赛门斯”变种）是“赛门斯”广告程序家族的最新成员之一，采用VC++ 6.0编写。“赛门斯”变种运行后，在被感染计算机的后台获取系统网卡的MAC地址，收集被感染计算机系统的配置信息。在后台连接骇客指定站点，进行访问量的统计和其它恶意程序下载等操作。读取注册表相关键值，检查自身组件是否被禁用，一旦发现被禁用便重新启动病毒文件。自我注册为BHO，实现“赛门斯”变种随系统浏览器的启动而加载运行。另外，“赛门斯”变种可能会在被感染计算机系统中定时弹出恶意网页、广告窗口等，干扰用户的正常操作。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月01日病毒及木马预警

  在今天的病毒中Trojan.PSW.Win32.GameOL. nga（“线上游戏窃取者”变种NGA）值得关注

    一、Trojan.PSW.Win32.GameOL. nga（“线上游戏窃取者”变种NGA）病毒类型：盗号木马病毒，，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Trojan.PSW.Win32.GameOL. nga（“线上游戏窃取者”变种NGA）这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。

    二、Exploit.HTML.IframeBof.ac（“Iframe溢出者”变种ac）病毒类型：脚本病毒，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Exploit.HTML.IframeBof.ac（“Iframe溢出者”变种ac）是“Iframe溢出者”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用搜索工具条软件的漏洞传播其它病毒。“Iframe溢出者”变种ac一般内嵌在正常网页中，如果用户没有及时升级修补搜索工具条软件相应的漏洞补丁，那么当用户使用浏览器访问带有“Iframe溢出者”变种ac的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，用户一旦打开带有“Iframe溢出者”变种ac的恶意网页时，还会弹出广告窗口，干扰用户的正常工作和上网。

    三、Trojan/PSW.Moshou.ata（“魔兽”变种ata）病毒类型：木马，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    Trojan/PSW.Moshou.ata（“魔兽”变种ata）是“魔兽”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“魔兽”变种ata运行后，在被感染计算机的“%SystemRoot%\system32\”目录下释放病毒组件和恶意驱动程序。该驱动程序利用高级ROOTKIT技术隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机的系统后台盗取网络游戏《魔兽世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《魔兽世界》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。用户计算机系统一旦感染该病毒，则很难清除干净。另外，“魔兽”变种ata还可以查找并强行关闭多款安全软件，极大地降低被感染计算机的安全性。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月05日病毒及木马预警

  在今天的病毒中Worm.Win32.VB.zqh（“VB蠕虫”变种ZQH）值得关注

    一、Trojan/VB.Small.aet（“小不点”变种aet）病毒类型：脚本病毒 病毒，，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Trojan/VB.Small.aet（“小不点”变种aet）是“小不点”木马家族的最新成员之一，可关闭多款反病毒软件以及Windows自带的防火墙程序。“小不点”变种aet运行后，自我复制到被感染计算机的指定目录下。修改注册表，实现木马开机自动运行。禁用任务管理器、注册表编辑器等，强行关闭多款反病毒软件以及Windows自带的防火墙程序，大大降低了被感染计算机上的安全性。在被感染计算机系统的后台窃取用户的“Y!Messenger”即时通讯软件的账号、密码，并将窃取到的用户名、密码发送到骇客指定的邮箱里。另外，“小不点”变种aet还可以窃取用户计算机名、IP地址等信息，并打开被感染计算机的“远程桌面”，使得骇客可通过“远程桌面”连接到被感染的计算机，从而远程控制被感染的计算机，严重威胁用户私密信息安全。

    二、Trojan/PSW.GameDLL.Gen（“游戏窃贼”变种）病毒类型：脚本病毒，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Trojan/PSW.GameDLL.Gen（“游戏窃贼”变种）是木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“游戏窃贼”变种运行后，自我插入到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取《热血江湖》、《罗汉》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

    三、Worm.Win32.VB.zqh（“VB蠕虫”变种ZQH）病毒类型：后门病毒，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    Worm.Win32.VB.zqh（“VB蠕虫”变种ZQH）该木马运行后，把自己命名为SVCHOST.EXE，复制到 C:\RECYCLED\目录，借以隐藏自身。病毒使用多个进程相互守护.并不断的回写注册表的多个键值，达到隐藏自己的目的，很难彻底清除，给用户带来较大安全风险。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月06日病毒及木马预警

    在今天的病毒中Trojan/VB.Small.aet（“小不点”变种aet）值得关注

    一、Worm.Win32.VB.zqh（“VB蠕虫”变种ZQH）病毒类型：蠕虫病毒，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Worm.Win32.VB.zqh（“VB蠕虫”变种ZQH）该木马运行后，把自己命名为SVCHOST.EXE，复制到 C:\RECYCLED\目录，借以隐藏自身。病毒使用多个进程相互守护.并不断的回写注册表的多个键值，达到隐藏自己的目的，很难彻底清除，给用户带来较大安全风险。

    二、Trojan/VB.Small.aet（“小不点”变种aet）病毒类型：脚本病毒，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Trojan/VB.Small.aet（“小不点”变种aet）是“小不点”木马家族的最新成员之一，可关闭多款反病毒软件以及Windows自带的防火墙程序。“小不点”变种aet运行后，自我复制到被感染计算机的指定目录下。修改注册表，实现木马开机自动运行。禁用任务管理器、注册表编辑器等，强行关闭多款反病毒软件以及Windows自带的防火墙程序，大大降低了被感染计算机上的安全性。在被感染计算机系统的后台窃取用户的“Y!Messenger”即时通讯软件的账号、密码，并将窃取到的用户名、密码发送到骇客指定的邮箱里。另外，“小不点”变种aet还可以窃取用户计算机名、IP地址等信息，并打开被感染计算机的“远程桌面”，使得骇客可通过“远程桌面”连接到被感染的计算机，从而远程控制被感染的计算机，严重威胁用户私密信息安全。

    三、Trojan/PSW.GameDLL.Gen（“游戏窃贼”变种）病毒类型：后门病毒，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    Trojan/PSW.GameDLL.Gen（“游戏窃贼”变种）是木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“游戏窃贼”变种运行后，自我插入到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取《热血江湖》、《罗汉》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

    四、Win32.Troj.OnlineGameT.nf.69897（“完美小偷69897”）病毒类型：后门病毒，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    Win32.Troj.OnlineGameT.nf.69897（“完美小偷69897”）网游盗号木马依旧层出不穷，这个病毒就是一个网游盗号木马。它在进入系统后，会将自己的病毒文件释放到系统盘中，分别是%WINDOWS%目录下的tciocp64.exe，以及%WINDOWS%\system32\目录下的tciocp64.dll。其中tciocp64.exe是病毒主文件，病毒会将它的相关数据写入系统注册表，启动项，以便达到开机自启动之目的，而tciocp64.dll是用来执行盗号的文件。

　　病毒将tciocp64.dll注入系统进程后，搜索是否安装得有网络游戏《完美世界》，如有，则建立消息监视，从用户与游戏服务器之间的通讯信息中过滤出游戏账号和密码，然后把它们通过网页提交的方式发送到http://www.*******.cn/tIyn***jhg/pasnt.asp这个由病毒作者安排好的网址中，给用户造成虚拟财产的损失。

    五、Worm.VB.as.65536（“MSN后门制造者65536”）病毒类型：后门病毒，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    Worm.VB.as.65536（“MSN后门制造者65536”）这个后门病毒主要利用网页挂马和MSN传送的方式进行传播，近来传播趋势有增高倾向，可以怀疑是有人在故意进行传播。

　　它进入用户电脑后所释放出的病毒文件非常多，遍布于系统盘%WINDOWS%目录下的众多子文件夹中，名字各异，但都是病毒的副本文件。病毒作者这样做，是为了防止病毒被轻而易举地“一锅端”。

　　尽管病毒文件众多，但我们还是可以通过病毒进程“顺藤摸瓜”，找到它们。需注意%WINDOWS%\system\fun.exe、%WINDOWS%\sviq.exe、%WINDOWS%\dc.exe这几个病毒进程，以及它们在注册表中的数据，它们就是病毒的主文件。

　　当顺利地释放出所有文件，并建立进程，该毒便会打开端口1042   TCP和1043   UDP，在后台悄悄连接病毒作者指定的远程服务器du***oivb.goo*****ges.com，等待黑客的入侵。

　　最后，病毒会监视系统内MSN运行情况，向用户的MSN好友自动发送含毒文件来传播自身。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！