江民科技06月14日至17日 联合病毒播报

14日：

英文名称：Trojan/Vilsel.hme
中文名称：“危鬼”变种hme
病毒长度：220595字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：7002f1490138f120d72e484b32245d4c
特征描述：
    Trojan/Vilsel.hme“危鬼”变种hme是“危鬼”家族中的最新成员之一，采用“Borland Delphi 6.0 – 7.0”编写。“危鬼”变种hme运行后，会在被感染系统的“%programfiles%cksetup”文件夹下释放恶意程序“LiveUpdate.exe”、“VODPlayer.exe”，在“%programfiles%NetMeeting”文件夹下释放图标文件“taobao.ico”，还会在“%USERPROFILE%Application DataMicrosoftInternet ExplorerQuick Launch”和“%ALLUSERSPROFILE%「开始」菜单程序”文件夹下创建指向骇客指定站点“http://www.*hao123.com/?v5”的假冒IE快捷方式，从而给骇客带来了非法的经济利益。另外，“危鬼”变种hme还会在收藏夹中创建多个Internet快捷方式，以此诱导用户进行访问。

英文名称：TrojanDropper.Centner.i
中文名称：“毒发射器”变种i
病毒长度：237568字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：a9844eb0fe6ccd0e8d93885f076ab388
特征描述：
    TrojanDropper.Centner.i“毒发射器”变种i是“毒发射器”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“毒发射器”变种i运行后，会在被感染系统的“%programfiles%Tencenttfiless”文件夹下释放快捷方式“QQ.lnk”、恶意脚本文件“Internett.vbs”、“33.vbs”、“qqqq”，批处理文件“33.bat”和恶意程序“ie2.exe”。释放完成后，原病毒程序会释放批处理文件“yidus.bat”并调用运行，以此将自身删除。在被感染系统的后台调用运行恶意文件“qqqq”，该文件会在桌面上创建两个指向“http://www.go*00.com/?q5”的假冒IE快捷方式，从而增加了相关站点的访问量，给骇客带来了非法的经济利益。

15日:

英文名称：Trojan/Generic.dld
中文名称：“通犯”变种dld
病毒长度：117760字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：d7eeeaf0eee0712a6e6a8523f3512075
特征描述：
    Trojan/Generic.dld“通犯”变种dld是“通犯”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“通犯”变种dld运行后，会自我复制到被感染系统的系统盘根目录下，重新命名为“iexplore.exe”。在被感染系统的后台连接骇客指定的远程站点“download11.s*o.me”，下载恶意程序“9158chat_389319.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“通犯”变种dld会在被感染系统中定时弹出恶意广告网页，从而给用户造成了不同程度的干扰。其还会从骇客指定的站点下载其它恶意程序并自动调用运行，致使用户面临着更多不同程度的侵害。另外，“通犯”变种dld会在被感染系统的后台定时访问骇客指定的站点，从而提高了这些网站的访问量，给骇客带来了非法的经济利益。

英文名称：TrojanDropper.VB.ovd
中文名称：“视频宝宝”变种ovd
病毒长度：45896字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：3baa98d55d96ac32d597240a1bff575c
特征描述：
    TrojanDropper.VB.ovd“视频宝宝”变种ovd是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种ovd运行后，会在被感染系统的“%SystemRoot%system32”文件夹下释放恶意程序“abcdrun.exe”和“SystemProcess.exe”。“视频宝宝”变种ovd运行时，会强行设置被感染系统的IE浏览器主页为骇客指定站点“http://hao.meiy*gie.com/?0002”，致使用户在打开IE浏览器后便会自动连接至该站点，从而增加了其访问量，给骇客带来了非法的经济利益。另外，“视频宝宝”变种ovd还会在桌面上创建假冒的IE快捷方式，通过该快捷方式启动的IE浏览器也会自动访问“http://hao.meiy*gie.com/?0002”。

16日：

英文名称：TrojanDownloader.Geral.bmo
中文名称：“变异体”变种bmo
病毒长度：40356字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：0929e8f4991c60ae863ec46ee78eaa7e
特征描述：
 TrojanDownloader.Geral.bmo“变异体”变种bmo是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种bmo运行后，会在被感染系统的“%programfiles%RAV”文件夹下释放恶意DLL组件“CCtest.dll”，在“%SystemRoot%system32drivers”文件夹下释放恶意驱动程序“CCTest.sys”，还会在“%SystemRoot%system32”文件夹下释放恶意程序“kav.exe”和“tmpacik.tmp”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。篡改被感染计算机的“hosts”文件，以此屏蔽对某些站点的访问。“变异体”变种bmo运行时，会在被感染系统的后台连接骇客指定的远程站点“121.12.*.130”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“变异体”变种bmo会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

英文名称：Trojan/Cosmu.cle
中文名称：“危鬼”变种cle
病毒长度：30720字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：0c668c3b8e7155f77f0a4284976c385f
特征描述：
 Trojan/Cosmu.cle“危鬼”变种cle是“危鬼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“危鬼”变种cle运行后，会自我复制到被感染系统的“%programfiles%Internet Explorer”文件夹下，重新命名为“rasadhlp.dll”。“危鬼”变种cle是一个专门盗取“热血江湖Online”网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题。一旦发现指定游戏的窗口存在，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

17日：

英文名称：Trojan/Buzus.ish
中文名称：“霸族”变种ish
病毒长度：59441字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：20a8eb7dd8910e5c0a179667905aa5e0
特征描述：
 Trojan/Buzus.ish“霸族”变种ish是“霸族”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“霸族”变种ish运行后，会在被感染系统的“%USERPROFILE%”文件夹下释放恶意驱动程序“busar.drv”，然后会将自我复制到被感染系统的“%programfiles%Common Files”文件夹下，重新命名为“SafeDrv.exe”（文件属性设置为“隐藏”）。“霸族”变种ish会在被感染计算机的系统盘根目录下创建“autorun.inf”（自动播放配置文件），以此实现双击盘符后激活指定恶意程序的目的，从而给被感染计算机用户造成更多的威胁。在被感染系统的后台连接骇客指定的远程站点“www.t*vod.com/ss/Count.asp”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

英文名称：TrojanDownloader.Adload.jjw
中文名称：“埃德罗”变种jjw
病毒长度：64512字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：3360752d8017f25b67aff21f04175d49
特征描述：
 TrojanDownloader.Adload.jjw“埃德罗”变种jjw是“埃德罗”家族中的最新成员之一，采用“Borland Delphi 6.0 – 7.0”编写。“埃德罗”变种jjw运行后，会释放恶意文件“U2Q6R8G2F2O4Q3E5V6H0V0C3S8K6S1K8.exe”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。后台连接骇客指定的远程站点“221.194.*.33”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。

2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。

3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。

4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。

5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。

6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。

7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。

9、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区，而是通过资源管理器中左侧的“树形目录”或在地址栏中输入盘符的方式进行访问，从而避免计算机病毒利用系统自动运行特性进行感染和传播。

未经允许不得转载：DOIT » 江民科技06月14日至17日 联合病毒播报