6月5日谨防“杀人魔”和“代理木马”病毒

江民今日提醒您注意：在今天的病毒中Trojan/Kilva.d"杀人魔"变种d和Trojan/Agent.acls"代理木马"变种acls值得关注。

英文名称：Trojan/Kilva.d

中文名称："杀人魔"变种d

病毒长度：27960字节

病毒类型：木马

危险级别：★★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：a730993f405a2d3e3c2a83b9b463c6d5

特征描述：

Trojan/Kilva.d"杀人魔"变种d是"杀人魔"木马家族中的最新成员之一，采用"Microsoft Visual C++ 6.0"编写，并且经过加壳保护处理。"杀人魔"变种d运行后，如果发现系统中不存在某些安全软件的进程，则会在被感染系统的"%SystemRoot%system32drivers"目录下释放恶意驱动程序"kvsys.sys"和"tesafe.sys"。在"%USERPROFILE%Local SettingsTemp"目录下释放具有"系统、隐藏"属性的恶意程序"fsrtdfyyvuu.exe"，并将其复制到"%SystemRoot%fonts"目录下，重新命名为"system32.exe"。"杀人魔"变种d运行时，会利用恶意驱动程序"kvsys.sys"关闭安全软件的自保护功能，并试图结束大量的安全软件进程。修改本地时间，致使某些安全软件的授权失效进而无法开启监控，以此使得用户的计算机系统失去安全软件的防护，为其进行后续的恶意操作创造了条件。强行篡改"hosts"文件，利用域名映像劫持功能屏蔽某些安全站点，阻止用户对这些网站进行访问。"杀人魔"变种d会将"tesafe.sys"注册成名为"腾讯驱动"的服务，并利用该服务在被感染计算机启动时篡改系统文件"userinit.exe"，从而轻易地达到了自动运行的目的，同时也增强了自身的隐蔽性。"杀人魔"变种d会在除系统盘以外的分区中搜寻".exe"文件，发现后便会在其目录下释放仿冒系统文件的恶意DLL组件"USP10.DLL"。该恶意DLL组件会随着正常程序的启动而被自动调用运行，运行后会连接骇客指定的远程服务器站点"http://935474.53*dns.com/"，下载恶意程序"gengxin.exe"并调用执行。该恶意程序可能为"杀人魔"木马的最新变种，或者是其它的恶意程序。其还会在被感染系统的后台连接骇客指定的远程服务器站点"http://y*geiwofc.cn/"，获取恶意程序下载列表，并在被感染系统上下载其它大量的恶意程序并自动运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。"杀人魔"变种d还会连接骇客指定的页面"http://y*geiwofc.cn/02/tj/count.asp"以统计感染情况，其释放的恶意DLL组件"USP10.DLL"不仅可能导致用户在重装系统后重复染毒，也可达到通过U盘、移动硬盘等可移动存储设备进行传播的目的。

英文名称：Trojan/Agent.acls

中文名称："代理木马"变种acls

病毒长度：282624字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：8bd643d7c732eeb2d70fa08875b380af

特征描述：

Trojan/Agent.acls"代理木马"变种acls是"代理木马"家族中的最新成员之一，采用"Microsoft Visual C++ 6.0"语言编写。"代理木马"变种acls运行后，会在被感染计算机系统的"%SystemRoot%system32"目录下释放加壳的恶意DLL组件"tcpcon.dll"、"Packer.dll"，还会在该目录下释放恶意程序"tcpd.exe"和自动关机程序"AUTMGR.EXE"。"代理木马"变种acls运行时，会将释放出的恶意DLL组件"tcpcon.dll"插入到被感染计算机系统的"winlogon.exe"等进程中加载运行，并在后台执行相应的恶意操作，隐藏自我，防止被查杀。在被感染系统的后台连接骇客指定的远程服务器站点"http://www.dofu**ill.info/"，下载恶意程序"IPHACTION.dll"并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或其它木马下载器等，致使用户面临着更多的威胁。"代理木马"变种acls还可能通过该站点进行自动更新、下载其它恶意程序、收集用户敏感信息、反馈感染情况的恶意行为，致使用户的隐私泄露，甚至面临着更多不同程度的风险。另外，"代理木马"变种acls会通过在被感染系统注册表启动项中添加键值的方式来实现木马的开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的"花指令壳"、"生僻壳"病毒进行脱壳扫描，有效清除"壳病毒"。

4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。

5、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。

6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

7、江民杀毒软件新增强大的启发式扫描，能够启发扫描90％以上的未知病毒。

8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://pay.jiangmin.com/online/jiangmin/kvkillonline.aspx

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

未经允许不得转载：DOIT » 6月5日谨防“杀人魔”和“代理木马”病毒