江民科技06月19日-21日病毒联合播报

英文名称：Trojan/Fakeav.kl
中文名称：“冒充者”变种kl
病毒长度：139264字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：7768086c8659f53ab4a8765cc4ab2f5e
特征描述：
    Trojan/Fakeav.kl“冒充者”变种kl是“冒充者”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“冒充者”变种kl运行后，会自我复制到被感染系统的“%programfiles%Common FilesMSSoapBinaries”、“%programfiles%VMwareVMware ToolsVAssert SDKinwin32”、“%programfiles%Common FilesSystemOle DB”、“%programfiles%Common FilesVMwareDrivers”等文件夹下，重新命名为“WiSC10WiSC10.exe”、“libVAssertTools.exe”、“msdasqlrmsdaosp2.81.1132.0.0804130852.exe”、“vmcivmci.exe”。“冒充者”变种kl运行时，会不断尝试与控制端（IP地址为：204.12.*.173:80和207.46.*.221:80）进行连接。一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，“冒充者”变种kl会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

英文名称：TrojanClicker.Agent.dce
中文名称：“代理木马”变种dce
病毒长度：1159433字节
病毒类型：木马点击器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：15b419e0966cb872f18085ef556375f9
特征描述：
    TrojanClicker.Agent.dce“代理木马”变种dce是“代理木马”家族中的最新成员之一，采用“Borland Delphi 6.0 – 7.0”编写。“代理木马”变种dce运行后，会在被感染系统的“%programfiles%Win32Games”文件夹下释放恶意脚本文件“2xi.vbs”、“minigame.vbs ”、“taobao.vbs”、“Internet.vbs”以及一些图标文件，还会在“%ALLUSERSPROFILE%「开始」菜单程序”文件夹和桌面上创建假冒的IE快捷方式以及大量的Internet快捷方式。释放完成后，其会弹出对话框“win游戏成功安装”，以此诱骗用户。“代理木马”变种dce还会强行篡改被感染系统的IE浏览器主页为骇客指定站点“http://www.6*6.net/yx.html”，致使用户在打开IE浏览器后便会自动连接至该站点，从而给骇客带来了非法的经济利益。

英文名称：Trojan/Generic.bri
中文名称：“通犯”变种bri
病毒长度：54272字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：a910553e4a06630eceda51c7357e5b9f
特征描述：
    Trojan/Generic.bri“通犯”变种bri是“通犯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“通犯”变种bri运行后，会自我复制到被感染系统的“%SystemRoot%system32”文件夹下，重新命名为“VMProtect.exe”。“通犯”变种bri会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行，之后会不断尝试与控制端（IP地址为：58.62.*.82:1987）进行连接。一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。其还会在被感染计算机的后台遍历当前系统中运行的所有进程，一旦发现某些指定的安全软件正在运行，便会尝试将其强行关闭，以此达到自我保护的目的。另外，“通犯”变种bri会在被感染计算机中注册名为“VMProtect”的系统服务，以此实现木马的开机自启。

英文名称：Trojan/Vilsel.hjy
中文名称：“危鬼”变种hjy
病毒长度：23040字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6d4eade78054adf75dd86faf3ffacc8c
特征描述：
    Trojan/Vilsel.hjy“危鬼”变种hjy是“危鬼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“通犯”变种hjy运行后，会关闭windows文件保护功能，然后将被感染系统“%SystemRoot%system32”文件夹下的“msimg32.dll”重新命名为“msimg32.new”，之后会释放假冒的系统文件“msimg32.dll”及恶意文件“45utre3w5ytsdfa56y.ime”（“45utre3w5ytsdfa56y.ime”文件运行后系统中会新增名为“中文(简体) – 智能 DEF”的假冒输入法）。“通犯”变种hjy是一个专门盗取“DNFOnline”网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题，之后会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：Trojan/PSW.Bjlog.hc
中文名称：“绑架犯”变种hc
病毒长度：192512字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：e1ba0e4ae24f17d600bb0bdb11d54cee
特征描述：
    Trojan/PSW.Bjlog.hc“绑架犯”变种hc是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“绑架犯”变种hc运行后，会在被感染系统的“%USERPROFILE%Local SettingsTemp”文件夹下释放恶意文件“ukhjksfhki.log”，之后会将其复制到“%USERPROFILE%Application Data
oyoo”文件夹下，重新命名为“fexbm.xm”。“绑架犯”变种hc是一个专门盗取网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题。一旦发现指定窗口存在，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上（IP为60.169.*.99:1210），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“绑架犯”变种hc会在被感染计算机中注册名为“ias”的系统服务，以此实现盗号木马的开机自启。

英文名称：TrojanDropper.Flystud.bam
中文名称：“苍蝇贼”变种bam
病毒长度：1229002字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：9a33fc6f18f12f8d615257fef566be95
特征描述：
    TrojanDropper.Flystud.bam“苍蝇贼”变种bam是“苍蝇贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“苍蝇贼”变种bam运行后，会自我复制到被感染系统的“%SystemRoot%system320A052”文件夹下，重新命名为“5242ED.EXE”。“苍蝇贼”变种bam运行时，会在被感染系统的“%SystemRoot%system32AEE214 ”和“%USERPROFILE%Local SettingsTempE_N4”文件夹下分别释放大量易语言编写的恶意程序，这些程序有可能是网络游戏盗号木马、远程控制后门或恶意广告程序等，致使用户面临更多的威胁。另外，其会在开始菜单“启动”文件夹下添加名为“DF3DDD.lnk”的快捷方式（指向自身副本），以此实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术，能够更加轻松地识别各种加壳、家族变种病毒，使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术，更好更快地保护您的信息安全。

2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网的病毒查杀，最大程度地保障企业的信息安全。

3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术，不仅可以更加准确地判别程序行为，还可迅速恢复病毒对系统造成的破坏与修改，令您轻松摆脱病毒的困扰。

4、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏和干扰运行，为自身和系统同时加上了“金钟罩”般的强力保护。

5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒，为您的网上冲浪撑起保护伞。

6、开启江民杀毒软件的BootScan功能，在系统登陆前进行病毒查杀，清除顽固病毒更加方便、彻底。

7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除，使恶意程序无处藏身。

8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确，修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能，使防护更全面，保护更彻底，不给病毒利用漏洞进行传播的机会。