江民科技07月10-12日病毒播报

7月10日

英文名称：TrojanDownloader.Geral.bwe
中文名称：“变异体”变种bwe
病毒长度：43171字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：4173240c5bed05ae7e95d0947b8e12e6
特征描述：
    TrojanDownloader.Geral.bwe“变异体”变种bwe是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种bwe运行后，会在被感染系统的“%USERPROFILE%Local SettingsTemp”文件夹下释放恶意文件“360data.tmp”，然后复制自身到“%SystemRoot%system32”文件夹下重新命名为“kav.exe”。在“%SystemRoot%system32”、“%programfiles%KAV”文件夹下释放“jxgamepacik.pak”、“ApsX88.dll”和驱动程序“ApsX88.sys”，另外还会在“%SystemRoot%system32drivers”文件夹下释放“pcidump.sys”。在被感染系统的后台遍历当前正在运行的所有进程，如果发现某些指定的安全软件存在，便会尝试将其结束。连接骇客指定的远程站点“121.12.*.6”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“变异体”变种bwe会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：TrojanDownloader.Generic.sx
中文名称：“通犯”变种sx
病毒长度：126227字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：725268dffbe9b48d098e67fc05c328b7
特征描述：
    TrojanDownloader.Generic.sx“通犯”变种sx是“通犯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“通犯”变种sx运行后，会在被感染系统的“%USERPROFILE%Local SettingsTemp
svF2.tmp”文件夹下释放恶意DLL组件“System.dll”和“nsExec.dll”。在“%USERPROFILE%Local SettingsTemp”下释放“3E6BE8E3.exe”和“max2_133daohang4.exe”。在当前用户的桌面上创建假冒的IE浏览器快捷方式，通过这个快捷方式启动的IE会自动访问骇客指定的站点“http://www.7*2.com/”，以此增加了其访问量。另外，其还会自动下载安装某浏览器，并且在安装后自动打开“http://www.n*9.com/?ay”，从而给骇客带来了非法的经济利益。

7月11日

英文名称：Trojan/Buzus.hup
中文名称：“霸族”变种hup
病毒长度：59609字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：38bd4034c523faa1b962846a3c0934e7
特征描述：
 Trojan/Buzus.hup“霸族”变种hup是“霸族”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“霸族”变种hup运行后，会自我复制到被感染系统的“%programfilesCommon Files\%”文件夹下，重新命名为“SafeDrv.exe”。另外，其还会在“%USERPROFILE%”文件夹下释放恶意驱动程序“cpswl.drv”。后台遍历当前系统中运行的所有进程，一旦发现指定的安全软件存在，便会不断向其进程发送垃圾消息，试图使其出错关闭或自动退出，以此达到自我保护的目的。“霸族”变种hup运行后，会创建名为“SafeDrv.exe”的进程。不断尝试与控制端（IP地址为:76.73.*.190:80）进行连接，一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），给被感染系统用户的信息安全构成了严重的威胁。另外，“霸族”变种hup会在被感染计算机中注册名为“Ms-tl_Srv”的系统服务，以此实现开机自动运行。

英文名称：TrojanDownloader.Adload.jlr
中文名称：“埃德罗”变种jlr
病毒长度：401408字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：8dad231b98cc07590ac613e2f7899285
特征描述：
 TrojanDownloader.Adload.jlr“埃德罗”变种jlr是“埃德罗”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“埃德罗”变种jlr运行后，会在被感染系统的“%USERPROFILE%Local SettingsTemph8nil4o8”文件夹下释放恶意DLL组件“b.dll”、“p.dll”以及恶意程序“z.lz”、“s.exe”、“q.exe”，还会在“%SystemRoot%”和“%SystemRoot%system32”文件夹下分别释放“ec2o.dll”、“cbbd.exe”、“e5cd.exe”和“de5d.flv”。“埃德罗”变种jlr运行时，会在被感染系统的后台连接骇客指定的远程站点“http://343.bo*ans.com”，读取配置文件“list/2010-06-02/BJ.y”，然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，从而给用户造成了不同程度的损失。


7月12日

英文名称：Trojan/Scar.xlu
中文名称：“毒疤”变种xlu
病毒长度：57856字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：2d5bb00df02268ac3d6637903b18f40a
特征描述：
 Trojan/Scar.xlu“毒疤”变种xlu是“毒疤”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“毒疤”变种xlu运行后，首先会将自身属性设置为“系统、只读、隐藏”。其会在被感染系统的“%SystemRoot%”文件夹下释放恶意DLL组件“JIFVLJBJMBYE.dll”，在系统盘根目录下创建“77NABW5G94.EXE”，还会在“%programfiles%TEDC9SCD”文件夹下释放“XJ51QOUH.exe”，之后复制自身到“%ALLUSERSPROFILE%「开始」菜单程序启动”文件夹下，重新命名为“7XPCGY7.PIF”。“毒疤”变种xlu运行时，会秘密连接骇客指定的服务器“buytomer.o*y.com”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“毒疤”变种xlu完全远程控制被感染的计算机系统，从而给用户的个人隐私甚至是商业机密造成无法挽回的损失。另外，“毒疤”变种xlu会在被感染计算机中注册名为“AX3679”的系统服务，以此实现开机自动运行。

英文名称：Trojan/Vilsel.btn
中文名称：“危鬼”变种btn
病毒长度：26445字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：0cf67e6f3f5910b5b3fec45ba8ff85aa
特征描述：
 Trojan/Vilsel.btn“危鬼”变种btn是“危鬼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“危鬼”变种btn运行后，会在被感染系统的“%SystemRoot%”文件夹下释放恶意文件“aa5775187.exe”。在被感染计算机的后台遍历当前系统中运行的所有进程，一旦发现某些安全软件存在，便会尝试将其结束，以此达到自我保护的目的。“危鬼”变种btn运行后，会不断尝试与控制端（IP地址为：59.34.*.7:80）进行连接。一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的计算机安全构成严重的威胁。另外，“危鬼”变种btn会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

 1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。
 2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。
 3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。
 4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。
 5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。
 6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。
 7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。
 8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。

未经允许不得转载：DOIT » 江民科技07月10-12日病毒播报