江民科技06月26日至28日病毒联合播报

26日：

英文名称：Trojan/Buzus.hkf
中文名称：“霸族”变种hkf
病毒长度：97792字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：8f9e922e6fffcb1b9f58e72f25f684df
特征描述：
    Trojan/Buzus.hkf“霸族”变种hkf是“霸族”家族中的最新成员之一，采用“Borland Delphi 6.0 – 7.0”编写。“霸族”变种hkf运行后，会自我复制到被感染系统的“%programfiles%Common Files”文件夹下，重新命名为“SafeDrv.exe”，文件属性设置为“隐藏”。其还会在“%USERPROFILE%”文件夹下释放经过加壳保护的恶意驱动程序“lmiwn.drv”并调用运行。在被感染计算机的系统盘根目录下创建“autorun.inf”，以此实现双击盘符后激活指定恶意程序的目的，从而给被感染计算机用户造成更多的威胁。另外，其会收集被感染计算机的相关信息，之后发送到骇客指定的页面“http://www.tj*vod.com/ax/Count.asp”，从而对用户的私密信息造成了不同程度的侵害。“霸族”变种hkf还会遍历当前系统中运行的所有进程，一旦发现某些安全软件的进程存在，便会尝试将其结束，致使被感染系统失去安全软件的保护。另外，“霸族”变种hkf会通过在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

英文名称：TrojanDownloader.Geral.bnm
中文名称：“变异体”变种bnm
病毒长度：37263字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6f63626a536678cd1dc3d6343efdff6b
特征描述：
    TrojanDownloader.Geral.bnm“变异体”变种bnm是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种bnm运行后，会释放恶意DLL组件“CCtest.dll”至被感染系统的“%programfiles%RAV”文件夹下。另外，还会在相同文件夹和“%SystemRoot%system32drivers”文件夹下释放恶意驱动程序“CCtest.sys”。遍历当前系统中运行的所有进程，一旦发现某些指定的安全软件存在，“变异体”变种bnm便会尝试将其强行关闭，以此达到自我保护的目的。“变异体”变种bnm运行时，会在被感染系统的后台连接骇客指定的站点“121.11.*.168”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“变异体”变种bnm会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

27日：

英文名称：Trojan/PSW.Bjlog.jj
中文名称：“绑架犯”变种jj
病毒长度：192512字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：5bc532b047e1a2f3602a92825dfe7234
特征描述：
    Trojan/PSW.Bjlog.jj“绑架犯”变种jj是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“绑架犯”变种jj运行后，会在被感染系统的“%USERPROFILE%Local SettingsTemp”文件夹下释放恶意文件“ouxexvxnoy.log”，然后会将“ouxexvxnoy.log”复制到“%ALLUSERSPROFILE%DRM”文件夹下，重新命名为“boywp.lnk”。“绑架犯”变种jj运行后，会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与控制端（IP地址为219.132.*.27:77）进行连接，一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，“绑架犯”变种jj会在被感染计算机中注册名为“ias”的系统服务，以此实现开机自动运行。

英文名称：Trojan/VB.zvl
中文名称：“视频宝宝”变种zvl
病毒长度：76340字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：509a9da3d09e8c8b69bb0fe5a29c3c91
特征描述：
    Trojan/VB.zvl“视频宝宝”变种zvl是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种zvl运行后，会在被感染系统的“%programfiles%WindowsUpdate”文件夹下释放图标文件“youhuo.ico”，恶意程序“TXP1atform.exe”和“svch0st.exe”。“视频宝宝”变种zvl运行时，会在后台调用执行“svch0st.exe”。“svch0st.exe”运行后，会与控制端（IP地址为：61.147.*.173:80）进行连接。如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，其会在开始菜单“启动”文件夹下添加名为“Windows服务管理器.lnk”的快捷方式（指向“svch0st.exe”），以此实现相关恶意程序的开机自启。

28日：

英文名称：TrojanDownloader.Adload.jhm
中文名称：“埃德罗”变种jhm
病毒长度：54272字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：80b3b4cd03ceddbf9dfcae2051bb6e1d
特征描述：
    TrojanDownloader.Adload.jhm“埃德罗”变种jhm是“埃德罗”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“埃德罗”变种jhm运行后，会在被感染系统的“%SystemRoot%system32”和“%SystemRoot%system32dllcache”文件夹下分别释放恶意DLL组件“jgqk0.dll”，还会在“%SystemRoot%system32”文件夹下释放恶意DLL组件“gggg7.dll”和“jgqkm.dll”。遍历当前系统中运行的所有进程，一旦发现指定进程“ravmond.exe”和“360tray.exe”存在，便会尝试将其结束。“埃德罗”变种jhm运行时，会在后台连接骇客指定的远程站点“221.194.*.33:80”，获取恶意程序下载列表，然后下载文件中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

英文名称：Trojan/PSW.Eruwbi.eh
中文名称：“吸金者”变种eh
病毒长度：72192字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：d16e0545fc8da4d14045ade50bc24cba
特征描述：
    Trojan/PSW.Eruwbi.eh“吸金者”变种eh是“吸金者”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“吸金者”变种eh运行后，会在被感染系统的“%SystemRoot%system32”文件夹下释放图标文件“www_qvod8_com.ico”和“www_gxgx_com.ico”（文件属性设置为“系统、隐藏、只读”），还会删除快捷启动文件夹下的IE快捷方式，并且在“%USERPROFILE%「开始」菜单程序”文件夹下和桌面上创建假冒的IE快捷方式和多个Internet快捷方式。当用户通过这些快捷方式启动IE浏览器后，会自动访问骇客指定的站点“http://www.2*8.cn/?tn=meiyingie.com”，从而增加了这些网站的访问量，给骇客带来了非法的经济利益。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
    3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
    4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
    5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
    6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
    7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
    8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。

未经允许不得转载：DOIT » 江民科技06月26日至28日病毒联合播报