08年05月07日病毒及木马预警

    在今天的病毒中Trojan/Agent.abbx（“代理木马”变种abbx）值得关注

    一、Backdoor.Win32.Gpigeon2007. ayn（“灰鸽子”变种AYN）病毒类型：蠕虫病毒，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Backdoor.Win32.Gpigeon2007. ayn（“灰鸽子”变种AYN） 该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，暗地里删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

    二、Trojan/Agent.abbx（“代理木马”变种abbx）病毒类型：脚本病毒，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Trojan/Agent.abbx（“代理木马”变种abbx）是“代理木马”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“代理木马”变种abbx运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下。自我注册为系统服务，实现木马开机自动运行。将恶意代码注入到“explorer.exe”或者“winlogon.exe”进程并调用运行，以躲避某些杀毒软件的查杀以及防火墙的拦截。连接骇客指定的服务器站点，侦听骇客指令，对某一IP地址发送大量数据包进行洪水攻击、停止攻击、从指定地址下载恶意程序并运行等。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

    三、I-Worm/Zhelatin.bmm（“哲拉蒂”变种bmm）病毒类型：网络蠕虫，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    I-Worm/Zhelatin.bmm（“哲拉蒂”变种bmm）是“哲拉蒂”网络蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“哲拉蒂”变种bmm运行后，自我复制到被感染计算机系统的“%SystemRoot%\”目录下，并重命名为“noskrnl.exe”。修改注册表，实现“哲拉蒂”变种bmm开机自动运行。从被感染的计算机上搜索有效的邮箱地址，利用被感染计算机群发带毒邮件。在后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月08日病毒及木马预警

    在今天的病毒中Worm.Win32.Agent. so（“代理蠕虫”变种SO）值得关注

    一、Worm/AutoRun.ahh（“U盘寄生虫”变种ahh）病毒类型：蠕虫病毒，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Worm/AutoRun.ahh（“U盘寄生虫”变种ahh）是“U盘寄生虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“U盘寄生虫”变种ahh运行后，在被感染计算机系统的根目录下释放一个恶意驱动文件“zzz.sys”。感染系统文件“spoolsv.exe”，向其写入可执行代码，实现“U盘寄生虫”变种ahh开机自启。删除被感染计算机系统中的“QQDoctorMain.exe”和“QQDoctor.exe”（QQ医生程序文件），达到自我保护的目的。关闭某些安全软件，防止被查杀。在被感染计算机系统的后台调用IE浏览器进程，利用系统IE进程连接骇客指定远程服务器站点“http://www.*zfw*.c*/Config.txt”，获取其它恶意程序的下载地址列表，然后下载列表中的所有恶意程序，并自动调用安装运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。在所有盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件，达到双击盘符启动“沃忒客”变种d运行的目的，具有利用U盘、移动硬盘等存储设备进行自我传播的功能。另外，“U盘寄生虫”变种ahh可能会在后台感染用户计算机系统中的可执行文件和网页文件等。

    二、Worm.Win32.Agent. so（“代理蠕虫”变种SO）病毒类型：蠕虫病毒，通过U盘等可移动存储设备传播，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista
    Worm.Win32.Agent. so（“代理蠕虫”变种SO）这是一个蠕虫病毒。病毒运行后会把自己复制到系统目录下，并修改注册表启动项实现开机自启动。同时病毒修改注册表信息，来禁用系统任务管理器，禁止WINDOWS自动升级，将系统文件和隐藏文件设置为不可见，以及锁定用户默认浏览器主页，并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“瑞星主动防御”或者“恶意行为检测”的对话框时，就发消息模拟鼠标点击不处理，以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒，并在可移动存储设备写入病毒，以此传播。

    三、TrojanDownloader.Zlob.izo（“紫萝卜”变种izo）病毒类型：木马下载器，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista

    TrojanDownloader.Zlob.izo（“紫萝卜”变种izo）是“紫萝卜”木马下载器家族的最新成员之一，采用VC++ V7.0-8.0编写，并经过加壳处理。“紫萝卜”变种izo运行后，在被感染计算机后台连接骇客指定站点“http://bo*.gr*b*k*.com/exe.php?ex=6*82”，下载恶意程序并在被感染计算机上自动调用运行，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。强行篡改IE浏览器设置，降低被感染计算机的安全性。另外，“紫萝卜”变种izo很可能与骇客指定的服务器建立网络连接，侦听骇客指令，进一步威胁用户计算机信息安全。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月09日病毒及木马预警

  在今天的病毒中Worm/AutoRun.ahh（“U盘寄生虫”变种ahh）值得关注

    一、Trojan.Win32.Undef. fxk（“安德夫木马”变种FXK）木马病毒，蠕虫病毒，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Trojan.Win32.Undef. fxk（“安德夫木马”变种FXK）  这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

    二、Worm/AutoRun.ahh（“U盘寄生虫”变种ahh）病毒类型：蠕虫病毒，通过U盘等可移动存储设备传播，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista

    Worm/AutoRun.ahh（“U盘寄生虫”变种ahh）是“U盘寄生虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“U盘寄生虫”变种ahh运行后，在被感染计算机系统的根目录下释放一个恶意驱动文件“zzz.sys”。感染系统文件“spoolsv.exe”，向其写入可执行代码，实现“U盘寄生虫”变种ahh开机自启。删除被感染计算机系统中的“QQDoctorMain.exe”和“QQDoctor.exe”（QQ医生程序文件），达到自我保护的目的。关闭某些安全软件，防止被查杀。在被感染计算机系统的后台调用IE浏览器进程，利用系统IE进程连接骇客指定远程服务器站点“http://www.*zfw*.c*/Config.txt”，获取其它恶意程序的下载地址列表，然后下载列表中的所有恶意程序，并自动调用安装运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。在所有盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件，达到双击盘符启动“沃忒客”变种d运行的目的，具有利用U盘、移动硬盘等存储设备进行自我传播的功能。另外，“U盘寄生虫”变种ahh可能会在后台感染用户计算机系统中的可执行文件和网页文件等。

    三、Win32.RiskWare.AgentT.n.95744（“桌面潜伏下载者95744”）病毒类型：木马下载器，通过网络传播 依险级别：★★★，影响系统windows9x/NT/2000/XP/2003/Vista Win32.RiskWare.AgentT.n.95744（“桌面潜伏下载者95744”）与大部分在AV终结者之后诞生的下载器一样，此次捕获的这个病毒下载器也具有一定的对抗安全软件能力。它进入系统后，立即检测进程列表是否存在“贝壳磁盘保护系统”的进程BKPCLIENT.EXE和MENU.EXE，若有则将它们强行结束。

　　接着，病毒复制%WINDOWS%目录下的系统桌面进程文件explorer.exe到%WINDOWS%\System32\目录下，并往原始的explorer.exe里写入自己的病毒代码，再将其复制到%WINDOWS%目录下，更名为svchost.exe。

　　完成以上步骤后，病毒就启动这个svchost.exe文件，利用它来调用正常的explorer.exe，实现隐蔽的运行。如果成功运行起来，它就能够连接病毒作者指定的地址，下载病毒文件列表，再根据列表里的地址去下载更多其它病毒文件运行，引发更大的破坏。

　　同时，该病毒具有自我更新和自我删除的功能，它会自动下载更新配置文件，并在运行完成后删除自己的原始文件，以免用户发现电脑中出现多余的东西。

    四、JS.Downloader.gb.9078（“PPStream漏洞下载器9078”）病毒类型：蠕虫病毒，通过U盘等可移动存储设备传播，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista

    JS.Downloader.gb.9078（“PPStream漏洞下载器9078”）
　　利用第三方软件的漏洞进行病毒下载，要比直接对抗安全软件来得容易。因此，有相当数量的病毒下载器是针对第三方软件制作的。

　　此篇预警播报中的病毒，利用的是PPStream（PPS网络电视）的漏洞。它利用网页挂马、捆绑视频文件的方法混进用户电脑，然后查看用户安装的PPStream中，是否含有2.0.1.3829版本的PowerPlayer.dll文件。如果确定是该版本，病毒就会制造溢出事件。

　　所谓溢出，简单来说，就是指某类数据流量超过系统中负责处理该类数据的空间所能存储的容量，就好像水从池子中漫出一样，扩散到了其它区域。这样一来，就会引起系统异常，如果病毒在溢出数据中做了手脚，那么就能够趁机执行这些操作。

　　这个病毒在制造溢出事件后，就能够悄悄连接http://exe.x****ankl.com/这个由病毒作者指定的远程地址，下载其它病毒到用户电脑中运行，引起无法估计的更大损失。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月10日病毒及木马预警

    今天的Trojan.Clicker.Win32.PopHot. duf（POPHOT点击器变种DUF），Trojan/VBS.Agent.bf（“代理木马”变种bf）,Trojan/PSW.Magania.cfz（“QQ大盗”变种tlb），JS.Downloader.vz.5802（漏洞下载器5802），Win32.Troj.Agent.208896（伪装进程下载器208896）值得关注。

    一、Trojan.Clicker.Win32.PopHot. duf（POPHOT点击器变种DUF）病毒类型：木马病毒，危险级别：★★★，影响系统：WINNT/2000/XP/2003
    Trojan.Clicker.Win32.PopHot. duf（POPHOT点击器变种DUF）是“代理木马”木马家族的最新成员之一，采用VBS脚本语言编写。“代理木马”变种bf运行后，自我复制到被感染计算机系统的指定目录下。修改注册表，实现木马开机自启动。在被感染计算机的C盘、D盘根目录下创建“autorun.inf”文件，实现双击C盘或D盘启动“代理木马”变种bf运行的目的。弹出对话框，显示的部分信息为“您一直对我无动于衷，这将使您的用户电脑系统死于我的手上，这同样也将成为您的坟墓”。在后台秘密监视正在运行的进程，一旦发现用户启动 “任务管理器”则强行将其关闭。在指定目录下释放多个病毒文件并运行，保护病毒主体文件不被查杀。不断弹出对话框，内容为“别乱结束进程，也不要重起计算机，请试别的方法”，造成被感染计算机运行缓慢，影响用户的正常操作。

    二、Trojan/PSW.QQPass.tlb（“代理木马”变种bf）病毒类型：木马,  危险级别：★，影响系统：Win 9X/ME/NT/2000/XP/2003。
        Trojan/VBS.Agent.bf（“代理木马”变种bf）是“Iframe溢出者”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用搜索工具条软件的漏洞传播其它病毒。“Iframe溢出者”变种ab一般内嵌在正常网页中，如果用户没有及时升级修补搜索工具条软件相应的漏洞补丁，那么当用户使用浏览器访问带有“Iframe溢出者”变种ab的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，用户一旦打开带有“Iframe溢出者”变种ab的恶意网页时，还会弹出广告窗口，干扰用户的正常工作和上网。

    三、Trojan/PSW.Magania.cfz（“QQ大盗”变种tlb）病毒类型：木马，危险级别：★★，影响系统：Win 9X/ME/NT/2000/XP/2003。
    Trojan/PSW.Magania.cfz（“玛格尼亚”变种cfz）是“QQ大盗”木马家族的最新成员之一，采用高级语言编写， 并经过加壳保护处理。“QQ大盗”变种tlb运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件“qqmm.vxd”，并将其插入到所有用户进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。强行删除用户计算机中的腾讯QQ医生程序文件，从而保护自身不被查杀。修改注册表，实现木马开机自动运行。在后台盗取被感染计算机用户的QQ帐号、QQ密码、会员信息、IP地址、IP所属区域等信息，并在被感染计算机后台将窃取到的这些信息发送到骇客指定的远程服务器站点上，给用户带来不同程度的损失。

　　四、JS.Downloader.vz.5802（漏洞下载器5802）病毒类型：病毒下载器，危险级别：★，影响系统：Win 9X/ME/NT/2000/XP/2003。
    JS.Downloader.vz.5802（漏洞下载器5802）这个下载器主要是利用网页挂马的方式进行传播，它可根据用户系统的实际情况，利用多款软件的安全漏洞实施下载行为，具有一定的智能型。

　　毒霸反病毒分析师检查后发现，这个病毒是一个脚本文件，可轻易挂到安全性能较差的网站上，进入用户系统后，它立即检查用户电脑中是否存在WINDOWS系统的MS06-014漏洞，以及 2.0.2.144版本的BaiduBar.dll和2.0.1.3829版本的PPStream。

　　如果有，病毒就利用它们，在用户无法知晓的情况下建立远程连接，从病毒作者指定的网站http://web.ha****liang.com//dm/下载更多其它病毒。

　　如果系统或第三方软件的漏洞不即时修补，那么不论杀毒软件如何升级，都无法有效防护系统安全，因此，一定要及时打好安全漏洞的补丁。

      五、Win32.Troj.Agent.208896（伪装进程下载器208896）病毒类型：木马下载程序，危险级别：★，影响系统：Win 9X/ME/NT/2000/XP/2003。
    Win32.Troj.Agent.208896（伪装进程下载器208896）病毒进入系统，就在系统盘的%Documents and Settings%\fish\Local Settings\History\History.IE5\MSHist012008050620080507\目录下释放出病毒文件index.dat，然后遍历进程，检测当前进程中是否存在卡巴斯基的进程AVP.exe，若存在则修改当前系统时间，使卡巴不能正常运行。

　　然后，病毒在系统中搜索onime.exe、internat.exe、ctfmon.exe、explorer.exe等进程文件名，若发现其中之一，则执行自己释放在%WINDOWS%\system32\dllcache\目录下的同名程序。这样，它就能光明正大地运行起来，而用户会认为那是正常的系统文件。

　　接下来，病毒会隐藏“Windows 文件保护”的窗口，试图阻止用户手动查杀。然后就建立远程连接，依次访问下载列表中的网站，将多种病毒和木马程序下载到系统的临时目录中运行。经毒霸反病毒工程师检查，它所下载的病毒大部分为破坏系统安全模块和盗取游戏帐号信息的木马。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月12日病毒及木马预警

     在今天的病毒中Trojan/PSW.OnLineGames.aeon（“网游窃贼”变种aeon）值得关注

    一、Trojan/Small.ejy（“小不点”变种ejy）木马病毒，蠕虫病毒，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    Trojan/Small.ejy（“小不点”变种ejy）是“小不点”木马家族的最新成员之一，采用VC++编写，并经过加壳处理。“小不点”变种ejy运行后，自我复制到系统目录下，并重命名为“ntserver.dll”。修改注册表，实现木马开机自动运行。将恶意代码注入到“explorer.exe”进程并调用运行，隐藏自我，防止被查杀。查找并强行关闭多款杀毒软件以及防火墙程序，极大地降低了被感染计算机的安全性。连接骇客指定站点，侦听骇客指令，对某一IP地址发送大量数据包进行洪水攻击、停止攻击、从指定地址下载恶意程序、删除自我等。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

    二、Trojan/PSW.OnLineGames.aeon（“网游窃贼”变种aeon）病毒类型：蠕虫病毒，通过U盘等可移动存储设备传播，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista
    Trojan/PSW.OnLineGames.aeon（“网游窃贼”变种aeon）是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种aeon运行后，自我插入到被感染计算机的系统“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《传奇》游戏玩家的游戏帐户、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月13日病毒及木马预警

        在今天的病毒中TrojanSpy.KeyLogger.uh（“键盘终结者”变种uh）值得关注

        一、TrojanSpy.KeyLogger.uh（“键盘终结者”变种uh）木马病毒，间谍类木马，通过网络传播 依 险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。
    TrojanSpy.KeyLogger.uh（“键盘终结者”变种uh）是“键盘终结者”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“键盘终结者”变种uh运行后，自我复制到系统盘的“\Program Files\Common Files\Microsoft Shared\MSInfo”目录下，重新命名为“alert.exe”（属性设置为“系统隐藏”）。将其注册为系统服务，实现木马开机自动运行。启动“IEXPLORE.EXE”程序，将病毒代码注入其中运行，隐藏自我，防止被查杀。在后台秘密监视被感染计算机上是否有移动存储设备，一旦发现便在移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件，实现双击盘符启动“键盘终结者”变种uh运行。秘密监视用户打开的窗口标题，窃取用户输入的网络游戏、网络银行以及即时通讯工具的账号、密码等信息，并将机密信息发送到骇客指定的服务器上，给用户带来极大的损失。另外，“键盘终结者”变种uh可能与骇客指定的服务器建立网络连接，侦听骇客的指令进行恶意操作，致使被感染的计算机被骇客远程完全控制，严重威胁用户计算机信息安全。

    二、Worm/AutoRun.ahk（“U盘寄生虫”变种ahk）病毒类型：蠕虫病毒，通过U盘等可移动存储设备传播，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista
    Worm/AutoRun.ahk（“U盘寄生虫”变种ahk）是“U盘寄生虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过加壳处理。“U盘寄生虫”变种ahk运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒文件“kavo.exe”和恶意组件“kavo0.dll”。修改注册表，实现蠕虫开机自动运行。将“kavo0.dll”插入到所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。破坏注册表，致使“显示隐藏文件”功能失效。在被感染计算机各个盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件（文件名随机生成），并且监视移动存储设备，一旦发现被感染计算机有新的移动存储设备时病毒便在其根目录下创建“autorun.inf”文件和蠕虫主程序文件，实现双击盘符启动“U盘寄生虫”变种ahk病毒程序运行的目的。另外，“U盘寄生虫”变种ahk还会在被感染计算机后台秘密窃取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

   三、Trojan.Win32.Undef. gga（“安德夫木马”变种GGA）病毒类型：蠕虫病毒，通过U盘等可移动存储设备传播，依险级别：★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista
    Trojan.Win32.Undef. gga（“安德夫木马”变种GGA）这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月14日病毒及木马预警

    在今天的病毒中Trojan.Win32.Undef. ggb（“安德夫木马”变种GGB）值得关注

    一、Trojan.Win32.Undef. ggb（“安德夫木马”变种GGB）木马病毒，间谍类木马，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Trojan.Win32.Undef. ggb（“安德夫木马”变种GGB）   这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

版主友情提醒：请大家及时更新杀毒软件、安装系统补丁且不要运行、浏览来历不明的文件！

08年05月15日病毒及木马预警

     在今天的病毒中Backdoor.Win32.Gpigeon2007. bbl（“灰鸽子”变种BBL）值得关注

    一、Worm/MSN.SendPhoto.ak（“性感相册”变种ak）木马病毒，间谍类木马，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Worm/MSN.SendPhoto.ak（“性感相册”变种ak）是“性感相册”蠕虫家族的最新成员之一，采用高级语言编写，并经过加壳处理。“性感相册”变种ak运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“mssee.exe”（文件属性设置为：系统、隐藏、只读）。修改注册表，实现蠕虫开机自动运行。在被感染计算机的后台强行篡改用户系统中的HOSTS文件，利用域名映像劫持技术禁止用户访问与安全相关的网站。采用进程隐藏技术隐藏自我，防止被查杀。在被感染计算机的后台将恶意代码注入到系统桌面程序“explorer.exe”进程中调用执行。该恶意代码以共享方式打开“%SystemRoot%\system32\mssee.exe”文件，防止用户删除该病毒主程序文件；利用进程守护技术原理保护病毒主程序进程不被关闭，大大降低了被感染计算机上的安全性。另外，“性感相册”变种ak还会在被感染计算机系统的后台不停地连接网络，进行秘密数据通信。

    二、Backdoor/Ceckno.ku（“塞克诺”变种ku）木马病毒，后门，通过网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Backdoor/Ceckno.ku（“塞克诺”变种ku）是“塞克诺”后门家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“塞克诺”变种ku运行后，遍历用户计算机磁盘，感染除某些指定程序以外的绝大部分*.exe文件。在局域网内搜索有漏洞的计算机，一旦发现便自我复制到有漏洞的计算机系统的“%SystemRoot%\system32\”目录下，并重命名为“server.exe”。将病毒代码注入到“winlogon.exe”进程中调用运行，隐藏自我，躲避某些安全软件的查杀、穿透某些防火墙程序。关闭某些安全软件，极大地降低了被感染计算机系统的安全性。连接指定的服务器站点，侦听骇客的指令，骇客通过“塞克诺”变种ku远程控制被感染计算机，进行恶意操作。

    三、Backdoor.Win32.Gpigeon2007. bbl（“灰鸽子”变种BBL）木马病毒，间谍类木马，通过
网络传播 依险级别：★★★，影响系统：Windows 9x/NT/2000/XP/2003/Vista。

    Backdoor.Win32.Gpigeon2007. bbl（“灰鸽子”变种BBL）  该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。