查看完整版本: [--
- 6 Pages: ( 13 total )
jianhuaking
2008-04-25 22:26
病毒预警 （每日更新）
关于未知病毒检测发现 **.sys问题 近期有一些论坛的朋友一直在因为使用未知病毒检测检测到 **.sys可疑、可疑为37%、但是状态却是“文件不存在”。
通过查看发现问题的用户的sreng的扫描报告，发现没有任何病毒的问题，于是，最初把这认定为这是注册表残留造成加以解决。后来在某用户的一真“施压”下。同研发的未知病毒检测程序的编写工程师进行了询问，工程师分析了源程序后发现是apihook问题，并建议用 dt检测工具能查到原因，并可以在system32/drivers下面找到那个文件。根据这一提示，用户在 dt中找到了相关项，但是恢复了 dt后，虽然未知病毒检测暂时找不到 **.sys的可疑，但是重启电脑又有了。根据用户提供的分析。亲自下载了一个DT进行测试。
***前：
=900) window.open('http://forum.jiangmin.com/UploadFile/2008-3/200831214521181.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2008-3/20083121455157.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
重启电脑：
=900) window.open('http://forum.jiangmin.com/UploadFile/2008-3/200831214645688.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
删除system32/drivers下的 dt后，再次重启电脑：
=900) window.open('http://forum.jiangmin.com/UploadFile/2008-3/200831214864.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
再次未知病毒检测：
=900) window.open('http://forum.jiangmin.com/UploadFile/2008-3/200831214835953.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
这时候一切正常了，不过，虚拟光驱软件不能用了。
可以知道，这不是病毒的问题，大家安全可以放心。这只是***了虚拟光驱后，修改了系统接口造成的一个现象而已。
通过对网上的搜索综合论坛中网友提供的信息认为： td.sys是提供给虚拟光驱的一个接口驱动，是个系统里本身就有的，***虚拟光驱后，会使用这个驱动。但是，卸载后这个驱动还会起作用。
jianhuaking
2008-04-25 22:27
用KV2008杀除未知病毒指南和实践 如今都注重杀软的防御能力和自身与病毒周旋对抗的能力。当然未知病毒的检出率高的好处显而易见，比较省事，最适合怕麻烦或不熟悉电脑的用户（不过有时对付误报也不省事）。现在的杀软风格百花齐放，各有侧重，各有长短，选一款适合自己和自己机子的吧，比来比去没意思，以自己电脑的最终安全为最终目标~~~ 下面来测试一下，正好昨天随便搜集了100个左右KV2008检测不出的病毒，其中有个卡饭最新的测试包含279个，KV杀了197个（截止到20日红伞273、卡7高启发236、NOD32-164、Sophos 257、熊猫161、BD186、蜘蛛191、McAfee个人版176。。。。NOD32检出164个，你们是相信这个还是相信VB100呢？或者都不相信？该怎么分析呢？呵呵）KV杀剩的88个+几个最新的零碎共100个（今天KV升级后杀了3个零碎，其中有个AUTO.EXE。目前不到100个了），如图：
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712210278222.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122102959455.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
测试方法：运行，出现主动防御提示后，一般动作（如运行程序，创建文件等不易判断的动作）放行；危险动作（如提示注入XXXX进程）拦截操作。然后用KV检测清除(不借助其他任何工具)。现在KV的主动防御提示比07有进步，有些危险动作的提示语比较严厉，不熟悉电脑的用户吓也吓的点禁止了，但我建议点结束进程，呵呵~~
有一类病毒，或免杀或加壳，扫不出，但一运行即被秒杀，这一类我个人认为和直接检出无本质的区别。如这几个
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122111659934.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
无法运行,因为刚运行就被杀了
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712211201732.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
这个刚释放文件就被杀了
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122112122616.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122141619369.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
呵呵,仔细比较一下这两个提示??
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122141624310.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
一释放就被杀
对于这些,开始没检出有什么呢?
再运行一个
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122114148626.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
允许,但没有其他动作,看进程,危险度55%,不是好东西,但却找不到生成的123.EXE(隐藏属性),用KV系统检测里的隐藏文件检测也找不到,要把123的进程结束后才能找出来(这个功能需要加强?)
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122114749529.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122114749543.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
KV的进程查看器帮助找出了可疑,在系统文件夹中生成隐藏属性文件的基本都是病毒行为.
来个AUTO病毒 运行fast.exe,会有2~3个创建文件的动作,允许~~
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122131412887.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
接下来,出现注入系统进程的提示
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122131642844.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
注意:非常危险!KV的提示框提示建议"总是禁止",但从我几次的实践表明,禁止是不够的,应该建议结束进程,以此病毒为例,如果结束进程,一切恢复平静.如果禁止,才有了下面的故事(这个病毒后来我又试二次,结果却不太一样,一次在提示注入系统进程时点的禁止,却成功了;一次允许,接下来的故事反倒没有如下的多,没创建那么多AUTORUN,也没让我点到手酸,后来看进程,可疑进程只有一个了,可疑度却达到了100%）
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/20071221320371.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122132011209.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122132441845.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
省了N多图,不停的创建,点到手酸,一边创建,KV一边杀,杀了无数的AUTORUN,病毒终于排泄完了(其实就是拼命的建D971A7BE.EXE这个文件,却建不起),检查一下
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122143433895.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
每个盘下有AUTO.EXE,无法显示隐藏文件,开始清除
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122135521141.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122135546615.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122135620725.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
KV的未知病毒扫描确实是反毒的利器,加入样本库后再杀,病毒文件基本肃清,用系统诊断把病毒的一个服务找到并删除,清理一下垃圾,完毕
jianhuaking
2008-04-25 22:27
kv使用心得 今天才注意到的一个,据说一运行就结束微点、卡巴和瑞星的进程，所以就优先试试咯先来认识一下，就是这个N人，运行完成任务后会自杀
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122205649647.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
果然，一运行，任务栏的红K马上不见了，同时发现无法显示隐藏的系统文件了，但可以显示隐藏的文件夹，用来迷惑新手还是可以的
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712220593711.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122205937141.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
无法杀毒，也看不见病毒文件，你也许会想起第三方工具了，但平时喜欢出风头混个脸熟的家伙象冰刃、SRENG现在保证昏迷中。。。。看看进程里kvsrvxp.exe还在不在，只要kvsrvxp.exe在，KV就没死，只要KV没死，呵呵，不就是外壳没了吗？剑还在就行。。。。。。 进入KV的***文件夹，运行KVMonXP.kxp启动KV任务栏图标，刚恢复即被病毒结束。再试运行kvxp.kxp，出现
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712221650363.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
这个KV的帮助文档一闪而过，接着出现kvxp.kxp遇到问题需要关闭的提示，也是一闪而过。 意料之中，接着依次找到并运行KvpViewer.exe（进程查看）、kvdetect.exe（未知扫描）、KVSysCheck.exe（系统诊断）、KVIETools.exe（安全助手）。如果你原来没有开启BOOTSCAN，那么还可以找到并运行SetupLd.exe（设置）~~扫描结果如下
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712221175342.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
注意，LSASS。EXE和SMSS。EXE的用户名不是SYSTEM，是病毒创建的，那个IE的进程也是病毒启动的，而且如果用KV安全助手还可以扫出这个IE进程的命令行，指向http://w.c0mo.com/r.htm 发现这个了，还不断网？这是常识，先断网再杀毒。
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712221175963.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
未知扫描出来后你也可以暂时不去清除，但一定记得先把扫出来的东西确认是毒的加入样本库（很重要）
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712221175519.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
病毒删除了所有启动项。。。
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712221175248.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712221175307.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
还有个比较流行的东西
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007122212930409.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
接下来就好办了，先结束病毒进程，在进程查看里点选“结束进程并加入黑名单”，有趣的事情出现了，病毒和KV出现了创建和阻止的拉锯，拉锯中KV生气的把新创建的病毒进程的危险度从97%提高到了100%，我帮了KV一把，用系统诊断把病毒的隐藏文件删掉了（不帮的话KV最后好象也能赢）。
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712222323765.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
结束病毒进程后，进入KV的文件夹运行KVMonXP.kxp，熟悉的任务栏红K又回来了，剩下的就是简单劳动了，未知扫描，加入样本库，结束进程，扫描样本库，杀样本，系统诊断，进程、服务、驱动、隐藏文件和注册表扫描、安全助手扫描等等等，最好重复检查一下，特别是未知扫描和隐藏文件扫描，多扫几次，因为有时删掉部分病毒文件后才扫的出另一部分。 最后说明一下，这是个文件感染型的病毒，感染后程序图标会变色，被感染的程序基本都是安全类的小工具，还有压缩工具和一部分需要连网的程序，幸好感染的不是系统文件。KV无法修复这次病毒对隐藏系统文件的选项的修改（好象是修改了访问权限？），需要平时的注册表备份，你备份了吗？ KV的自我保护还是很强的，但希望KV的工程师能分析一下病毒结束KV的手段，在自我保护或主动防御上再进一步。病毒删除了KV的启动项，我这次没用自定义规则，所以不知针对此项自定义是否有效。看卡饭里的报告，有写入"启动"文件夹的动作，但我测试时没有，才想起我系统监控里唯一保留的自定义规则就是禁止写入"启动"文件夹，本意是用来对付某些不自觉的正常软件的，因为病毒用这个是比较弱智的。结果小人没来，小偷到来了。看来这个自定义规则还是有效的，其他的不知如何。。。。另外，KV的服务器模式和严厉模式对付此毒无效，因为一开始就。。。。。。 不管怎么样，病毒清理完了，用KV的机子哪有那么容易挂的，你说是吧？ 补充：挺喜欢这个毒的，因为他不是很乱来，不全盘感染文件，只是按需来选择性感染，如安全工具，WINRAR，连网的程序，后来用自定义规则又试了一下，禁止创建自动播放文件，禁止修改文件夹访问权限（特别是用命令行）等等（还没试禁止病毒删除启动项的规则），再次运行，文件不再被病毒隐身，手动清除的过程明显轻松，结论，KV的防御规则在这种情况下还是有效的~~加上KV已把毒全部入库，再次查杀就简单多了，把进程禁止把杀毒界面恢复后杀毒即可，感染的文件可清除~~~结论，1、对于普通用户，装个防火墙还是有必要的，杀毒后在没有清除被感染的文件时可以发挥作用，除非你知道哪些被感染了卸载重新***。2、自定义些规则或***规则包可以最大限度的保证安全。3、可疑文件上报后，官方积极快速反应非常重要，特别是对付感染文件型的病毒~~
jianhuaking
2008-04-25 22:28
北京网络行业协会、江民科技联合发布4月26日病毒播报 特别提醒：4月26日（本周六）是CIH爆发的日子，江民特别提醒广大电脑用户做好防毒工作，并及时进行病毒查杀。 CIH又称Win95.CIH\Spacefiller\Win32.CIH，是一种文件型病毒，可以通过文件、软盘、网络等多种途径传染，自1998年6月初在台湾被发现之后，便开始在全球爆发。1999年和2000年是CIH病毒最疯狂时代，此后，每年在4月26日均会发作。2002年至今，尽管该病毒发作趋缓，但江民客户服务部每年仍会接到数十例感染CIH病毒的用户求救。 专家提醒用户，针对CIH病毒千万不要掉以轻心，首先，不要用盗版软件，坚持使用正版软件， 打开杀毒软件实时监控并升级最新病毒库。其次，对网络上、光盘和软盘上的软件在***或使用前一律用杀毒软件进行检查，一定要***可以自动清除压缩包内病毒的杀毒软件。
江民今日提醒您注意：在今天的病毒中Exploit.HTML.IframeBof.ab“Iframe溢出者”变种ab和Trojan/PSW.Magania.cfz“玛格尼亚”变种cfz值得关注。
病毒名称：Exploit.HTML.IframeBof.ab
中 文 名：“Iframe溢出者”变种ab
病毒长度：5461字节
病毒类型：脚本病毒
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.HTML.IframeBof.ab“Iframe溢出者”变种ab是“Iframe溢出者”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用搜索工具条软件的漏洞传播其它病毒。“Iframe溢出者”变种ab一般内嵌在正常网页中，如果用户没有及时升级修补搜索工具条软件相应的漏洞补丁，那么当用户使用浏览器访问带有“Iframe溢出者”变种ab的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，用户一旦打开带有“Iframe溢出者”变种ab的恶意网页时，还会弹出广告窗口，干扰用户的正常工作和上网。
病毒名称：Trojan/PSW.Magania.cfz
中 文 名：“玛格尼亚”变种cfz
病毒长度：119102字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.cfz“玛格尼亚”变种cfz是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种cfz运行后，在“%SystemRoot%\help\”目录下释放组件“F3C74E3FA248.dll”。修改注册表，实现木马开机自动运行。采用HOOK技术和内存截取技术，在被感染计算机的后台监视用户打开的窗口标题，盗取《黄易群侠传》、《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种cfz还会在被感染计算机上下载更多的恶意软件，给网络游戏玩家带来非常大的损失。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户防问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。 4、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。 5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。 6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。 7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-04-25 22:28
北京网络行业协会、江民科技联合发布4月27日病毒播报 江民今日提醒您注意：在今天的病毒中TrojanDownloader.Mutant.af“突变王”变种af和Backdoor/Nepoe.ak“泥坡”变种ak值得关注。
病毒名称：TrojanDownloader.Mutant.af
中 文 名：“突变王”变种af
病毒类型：木马下载器
病毒长度：33021字节
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Mutant.af“突变王”变种af是“突变王”木马下载器家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“突变王”变种af运行后，在被感染计算机系统的临时目录下释放病毒文件“loader1.exe”和“setup.exe”。修改注册表，实现木马开机自动运行。修改注册表，更改文件关联，实现用户一运行EXE程序就会先运行病毒程序。在被感染计算机系统的后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。
病毒名称：Backdoor/Nepoe.ak
中 文 名：“泥坡”变种ak
病毒长度：104448字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Backdoor/Nepoe.ak“泥坡”变种ak是“泥坡”后门家族的最新成员之一，采用高级语言编写，并经过加壳处理。“泥坡”变种ak运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“csrs.exe”。修改注册表，实现“泥坡”变种ak开机自动运行。连接到骇客指定的IRC服务器，侦听骇客指令，窃取被感染计算机上的文件；发起DDOS攻击；扫描系统，可能造成网络堵塞，用户的机密信息泄露，下载并运行更多的恶意软件，严重威胁用户计算机信息安全。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。 4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。 6、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-04-25 22:28
北京网络行业协会、江民科技联合发布4月28日病毒播报 江民今日提醒您注意：在今天的病毒中Exploit.JS.Real.y“Real蛀虫”变种y和Trojan/Beep.Gen“喇叭贼”变种值得关注。
病毒名称：Exploit.JS.Real.y
中 文 名：“Real蛀虫”变种y
病毒长度：3645字节
病毒类型：脚本病毒
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.JS.Real.y“Real蛀虫”变种y是“Real蛀虫”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种y一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种y的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。
病毒名称：Trojan/Beep.Gen
中 文 名：“喇叭贼”变种
病毒长度：19720字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Beep.Gen“喇叭贼”变种是木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳处理。“喇叭贼”变种运行后，在被感染计算机系统的临时文件夹下释放恶意驱动文件和恶意DLL组件文件，并将文件属性设置为隐藏、存档。将这两个恶意文件复制到系统%SystemRoot%\system32\目录下，同时将恶意驱动文件命名为“msosmsfpfis64.sys”，将恶意DLL组件文件命名为“mso ing00.dll”。将恶意驱动文件“msosmsfpfis64.sys”注册为系统服务，用来还原系统“SSDT HOOK”，躲避某些安全软件的防御和查杀。修改注册表，实现木马开机自动运行。将恶意DLL组件文件插入到所有用户级权限的进程中加载运行，隐藏自我，防止被查杀。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《QQ华夏》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《QQ华夏》玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来极大的损失。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户防问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。 4、选择具备“网页防马墙”功能的杀毒软件（如KV2008），每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。 5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。 6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。 8、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。 9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-04-28 21:06
我眼中的杀软、360和KV2008 我从06年6月开始用KV06(好兆头啊，太顺了，呵呵)，经历KV07至KV08，我对KV系列的评价就是：可以信任，比KV好的杀软有，不止一个，但KV也值得信任。这就够了，不需最强，我已熟悉他的每个设置，每个功能，KV在我手里能物尽其用，实际效果至今无须重装系统，电脑里隐私无忧，但从不求从此无毒，因为没有哪个杀软能保证~~~~所以，从无换杀软的念头。 杀软虽然只装了一个，安全论坛却逛了无数，时间久了，感想也多了，简单点： 一、关于安全组合
各个坛子都有，有炫的，有问的，有荐的，什么A+B、A+C、B+D。。。。等等无穷排列组合（指杀软组合，非墙、杀组合）。我的看法是：如果一个杀软要靠另一款杀软配合才能保护系统安全，那他在现在的网络环境下就是不合格的杀软。而且这个1+12的。没有绝对安全，省省吧，把研究组合的时间用来学习、工作、泡MM、打星际多好。但如果你只是把研究组合当娱乐那就当我没说哈。 二、关于杀软占用资源的争论
这个争论经常看到，甲说A死垃圾，装了拖我机子。。乙说你才垃圾，不会用表乱说，我设置好了跑的得得的。都没说错，A的错。我的看法是：没哪个杀软适合任何机子的，卡不卡装了才知道，你的不卡不代表别人用了也不卡，反之亦然。设置有影响，但不是决定性因素。当然，有的杀软用起来卡的人少些，如NOD32，但也绝非每台机子装了都会流畅。没有绝对适合。 三、关于杀软好坏的标准
现在人最关心这个了，我觉得这个标准恐怕是世界上最难定的标准之一了，因为杀软是个性化的东西，每个人的需要、习惯、水平甚至脾气（呵呵，不要笑，杀软需要对个人脾气的）都不同，心目中的标准都不同，无法细化操作。唯一具有极强操作性的标准就是病毒包扫描检测，所以才有赶考般的VB100，但病毒包检测就那么重要吗？通过VB100的就真的是众望所归的不二之选吗？我倒是认为VB100的重要性将逐年下降至可有可无。我的标准是：
1、前提：自我保护，不卡，看着顺眼，英文的不要，日本韩国的不要，官方声明和在口水战中说的话不对我脾气的不要。
2、认的出：这一条才关系到病毒包检测率，当然引擎越强越好，脱壳能力越强越好，毒库越大越好。这里唯一无法标准化的就是启发报毒了，你可以当他是主动防御，也可以当他是常规报毒，但对于普通用户来说，只会把他当常规报毒，一如害怕主动防御提示一样，当然就有误报在里面，所以有些高检出率是以增加误报率为代价的，如何选择，相信每个人都有不同的标准。
3、杀的死：检出了还有杀不死的？对！杀不死和认不出对许多人来说无本质区别。杀的死还分删除和清除，清除能力强也是衡量杀软的指标之一
4、防的住：认不出的东西下来了，能不能智能判断或帮助用户判断是否恶意程序？这东西现在流行，当然看谁全面和人机交互好。
所以检出率真的那么重要吗？举个例子来说明衡量杀软好坏的标准真的很个人化：有一朋友的电脑中毒了，弹网页，卡机，他原来用的是我帮他装的KV07中天破解的那种（他就喜欢不花钱的，呵呵），但后来无法升级了就一直没升直至中毒，中毒后他先找了另一朋友，装上卡巴能查出毒，但杀不死。我去后还是卸卡巴上KV，当时中天关闭，我也没带光盘和U盘，懒得费事，试着用KV的未知工具配合系统监控把毒清了。还遇到过KV和卡巴都能扫出但都无法杀除最后用KV的BOOTSCAN杀掉的情况。这也是我喜欢KV的原因之一，其他许多杀软杀不掉就是杀不掉，没办法想，扫的出杀不掉如果不借助第三方工具或杀软就是死翘翘，而KV虽然也不是一定能怎样，但至少有办法想。
检出率真的那么重要吗？比如脱壳能力，病毒加了壳认不出了，但运行了还是会被识别杀掉的。当然运行了有些就杀不掉了，但过扫描就是过杀软吗？没有绝对标准。每个人根据自己的能力按照自己的标准选择适合自己的杀软，以自己电脑最终的安全为标准，不要认为自己选的杀软就高人一等。至于我，如果无法兼得，我选择高防御，不要高检出。 最后说说KV08
KV08的引擎不是最好，毒库不是最大，升级不是最及时，主动防御不是最强，优点就是防护的比较全面，虽然各项指标都不拔尖，但对于大多数用户来说我觉得足够了。我电脑里除了KV08以外无任何安全软件，墙也用的系统自带的，设置里所有项目都是打开的（除了服务器模式和严厉模式），用电脑的习惯也是“自由式”，除了不乱装东西外（到不是怕中毒，是对软件要求高），U盘随便插，网站随便进（有时论坛里发的毒网挨个进去试），说实话，倒也不是KV有多强，如果你补丁打齐了，加上KV的网页防马墙（不过搞不清这个墙在其中起了多大的作用），你想通过网页中个毒不是那么容易的，习惯IE的朋友建议用IE7，安全性不是IE6能比的。
至于KV的兼容性和BUG我到是极少遇到，从06到08都很顺，机子也很快，我觉得这个和机子的配置是没有多大关系的，开始08出来时我还是512的内存，用着挺好，后来加到1G，感觉也差不多，帮朋友装的KV也都没什么问题，但都有一个共同之处，就是我帮朋友装其他杀软我用他们的原系统，如果装KV我就帮他们装新系统，我的系统碟是拿深圳市政府的原版光盘直接对刻的，非常纯净，装后不用任何优化软件，而且装好后还要警告他们，不要自己偷着装360那个垃圾啊，如果装了电脑以后出问题我不管。其实倒也不是装KV非得这样，只是我这样没问题，而他们出问题就会来找我，以防万一，把烦我的可能性降到最低，干脆“克隆”一个算了。当然他们平时也只是玩玩游戏，上上网，电脑环境比较简单。
当然也不是没有一点问题，这应该是KV本身的BUG了：
问题一、以下情况时会出现假死：1、开机至登陆密码窗口，如果不马上登陆，等5~10分钟再输密码登陆，进入桌面假死；2、打开浏览器浏览网页，如果长时间不操作或长时间浏览后（无法确定多长时间），这时关闭浏览器，马上打开KV的任务管理器或设置，会假死。除此无假死现象。
问题二、自动升级后，网页监视失效，文件监视走到前台，当然，网页监视失效了隐私保护也暂时失效了，直至下次重启或开机。
问题三、系统监控白名单里的程序信任范围选项，其他选项如文件操作等都能永久保存设置，惟独注册表操作选项无法永久设置，下次开机或一定时间后设置即还原。
最后是一点建议：
KV08为用户提供较07版更强大的辅助工具安全助手和系统诊断，在扫描后的窗口中还提供了供用户操作的选项，但直到最近一段时间我才发现用右键有更多的“惊喜”，如图：
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/200712163641985.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
比下面多了"启/禁用加载项"的选择，方便了不少
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007121631146169.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
还可以“定位注册表”~~~~至于其它选项当然也非常有用，只是这个右键菜单如果没有提示恐怕有些用户过了08年也找不到。。。。 还有这个选项,要双击才会出现，可。。。。有的用户恐怕也不知道
=900) window.open('http://forum.jiangmin.com/UploadFile/2007-12/2007121631610349.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
以上只是个人的感想和使用感受，仅供参考哈，也许我电脑明天就中毒了也说不定，不过中了就中了，没啥，象我这样用电脑一年半载中个毒我不会怨天尤人的，搞定后接着开着KV到处乱跑~
jianhuaking
2008-04-28 21:06
北京网络行业协会、江民科技联合发布4月29日病毒播报 江民今日提醒您注意：在今天的病毒中TrojanSpy.Zbot.p“砸波”变种p和Trojan/PSW.GameDLL2.Gen“游戏窃贼2”变种值得关注。
病毒名称：TrojanSpy.Zbot.p
中 文 名：“砸波”变种p
病毒长度：54784字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Zbot.p“砸波”变种p是“砸波”木马家族的最新成员之一，采用高级语言编写， 并经过加壳处理。“砸波”变种p运行后，在“%SystemRoot%\system32\”目录下创建病毒体“ntos.exe”，并在“%SystemRoot%\system32\w oem\”目录下释放文件“audio.dll”。修改注册表，实现木马开机自动运行。自我注入到所有进程中（除CSRSS.EXE外）并调用运行，保护病毒体不被复制、删除。破坏多款防火墙程序，窃取被感染计算机上用户的私密信息并发送给骇客，大大降低了被感染计算机上的安全性。另外，“砸波”变种p可能会破坏用户计算机系统内的某些应用程序、数据库、压缩文件、图片、文档等，给用户带来极大的损失。
病毒名称：Trojan/PSW.GameDLL2.Gen
中 文 名：“游戏窃贼2”变种
病毒长度：可变
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GameDLL2.Gen“游戏窃贼2”变种是木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“游戏窃贼2”变种运行后，将DLL组件程序插入到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取《魔兽》、《完美世界》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来不同程度的损失。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。 4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 5、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。 6、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。 7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-04-29 21:30
KV杀毒技巧
杀毒步骤：
1.杀毒前请先打好系统补丁，通过Windows Update或自动更新就可以获得最新更新，这里是微软安全更新下载地址：http://update.microsoft.com/microsoftupdate/v6/muoptdefault.a x?ln=zh-c am returnurl=http://update.microsoft.com/microsoftupdate/v6/default.a x?ln=zh-cn
2.您也可以访问微软安全站点http://www.microsoft.com/china/security/来了解最新更新信息。
3.将病毒库升级至最新，将网络断开，避免被病毒通过网络再次感染本机。首先进行内存扫描，再进行全盘扫描。
4.如果第3步扫到病毒，但显示无法清除，请转移到安全模式，首先进行内存扫描，然后进行全盘扫描,不能删除的病毒进行手工强行删除即可.
利用未知病毒检测进行杀毒：
1，运行江民杀毒软件（至少是kv2007以上版本），选工具菜单-未知病毒检测-检测未知病毒，扫描结束的时候，在您不需要的文件上点鼠标右键，然后选择删除文件，通常就可以删除，如果文件有保护，就会提示重启计算机，此时保存您的所有文档，选择“Yes”，在重启的时候就删除了这个文件。
2，如果第一步操作没有扫描到您需要删除的文件，则选工具菜单-未知病毒检测-编辑样本库，然后选择新建样本，定位到此类文件中去，然后给他起个有意义的名称。之后关闭对话框。如果有多个样本需要删除，请重复此步骤。
3，选工具菜单-未知病毒检测-扫描样本库，就会扫描到您刚才定位的文件，最后选杀毒即可。就删除了此类文件(可能需要重启计算机)。
手工操作方法：
病毒通常都是隐藏文件，要显示所有文件，按以下步骤操作：在“我的电脑”或“Windows资源管理器”窗口菜单栏中点击“工具”“文件夹选项”，在“文件夹选项”对话框中点“查看”选项卡，在其中去掉“隐藏受保护的操作系统文件”选定，点选“显示所有文件和文件夹”。取消“隐藏已知文件类型的扩展名”选定。Windows 98与Windows XP操作类似。
如果病毒在压缩包中，请解压文件，然后删除病毒体，通常情况下该压缩包就是病毒，可直接删除该压缩包。
如果病毒在系统还原目录，请关闭系统还原功能再试。xp用户请在桌面用右键单击我的电脑，选属性菜单，然后在对话框中选中系统还原选项卡，在“在所有驱动器上关闭系统还原”前面打勾，确定即可。
如果病毒是正在运行的dll文件，sys文件或者是有进程保护的可执行文件，运行时可能无法被清除，请进入安全模式杀毒。通常在计算机启动的时候不断按F8键可选择进入安全模式。
如果有启动盘，可用启动盘启动计算机，然后进入病毒所在目录，进行强行删除。
如果您的计算机是win2000以上版本，可以使用新增的BootScan技术进行查杀。即可彻底清除病毒，具体操作步骤请查看kv帮助文件。
怀疑系统中有未知病毒，请使用kv的未知病毒扫描工具进行扫描，并将可疑的样本压缩发到virus@jiangmin.com
jianhuaking
2008-04-29 21:30
北京网络行业协会、江民科技联合发布4月30日病毒播报
江民今日提醒您注意：在今天的病毒中TrojanDownloader.JS.Agent.fz“代理木马”变种fz和Adware/Cinmus.Gen“赛门斯”变种值得关注。
病毒名称：TrojanDownloader.JS.Agent.fz
中 文 名：“代理木马”变种fz
病毒长度：1544字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.JS.Agent.fz“代理木马”变种fz是“代理木马”木马家族的最新成员之一，利用影音播放器软件溢出漏洞传播其它病毒，采用javascript脚本语言编写，并且经过加密处理。“代理木马”变种fz一般内嵌在正常网页中，如果用户计算机没有及时升级修补影音播放器软件相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种fz的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。
病毒名称：Adware/Cinmus.Gen
中 文 名：“赛门斯”变种
病毒长度：可变
病毒类型：广告程序
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Adware/Cinmus.Gen“赛门斯”变种是“赛门斯”广告程序家族的最新成员之一，采用VC++ 6.0编写。“赛门斯”变种运行后，在被感染计算机的后台获取系统网卡的MAC地址，收集被感染计算机系统的配置信息。在后台连接骇客指定站点，进行访问量的统计和其它恶意程序下载等操作。读取注册表相关键值，检查自身组件是否被禁用，一旦发现被禁用便重新启动病毒文件。自我注册为BHO，实现“赛门斯”变种随系统浏览器的启动而加载运行。另外，“赛门斯”变种可能会在被感染计算机系统中定时弹出恶意网页、广告窗口等，干扰用户的正常操作。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 4、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。 5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。 6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。 7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-04-30 19:47
KV中隐藏的奇妙的功能
不知道是不是江民的软件软件工程师们给我们的惊喜，今天在使用KV的过程中发现一个奇妙的现象，现与大家分享一下：
打开KV主程序，然后选择查毒，杀毒也可以，然后按键盘上的Ctrl+Alt+H键，然后你发现了什么，KV的主界面不见了，是Bug吗？不是，KV2006主程序依然运行，可以在任务管理器重发现他的进程，不过无法直接结束，想要让他再显示出来很容易，再次打开就可以看到了。
利用这一点，结合自动变速的特点，我们可以实现后台全盘杀毒，而不用担心其他人把KV关掉了。
真是一个奇妙的现象，不知道是不是江民的软件工程师设计的彩蛋。
jianhuaking
2008-04-30 19:48
北京网络行业协会、江民科技联合发布5月1日病毒播报
江民今日提醒您注意：在今天的病毒中Exploit.HTML.IframeBof.ac“Iframe溢出者”变种ac和Trojan/PSW.Moshou.ata“魔兽”变种ata值得关注。
病毒名称：Exploit.HTML.IframeBof.ac
中 文 名：“Iframe溢出者”变种ac
病毒长度：4818字节
病毒类型：脚本病毒
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.HTML.IframeBof.ac“Iframe溢出者”变种ac是“Iframe溢出者”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用搜索工具条软件的漏洞传播其它病毒。“Iframe溢出者”变种ac一般内嵌在正常网页中，如果用户没有及时升级修补搜索工具条软件相应的漏洞补丁，那么当用户使用浏览器访问带有“Iframe溢出者”变种ac的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。另外，用户一旦打开带有“Iframe溢出者”变种ac的恶意网页时，还会弹出广告窗口，干扰用户的正常工作和上网。
病毒名称：Trojan/PSW.Moshou.ata
中 文 名：“魔兽”变种ata
病毒长度：91136字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Moshou.ata“魔兽”变种ata是“魔兽”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“魔兽”变种ata运行后，在被感染计算机的“%SystemRoot%\system32\”目录下释放病毒组件和恶意驱动程序。该驱动程序利用高级ROOTKIT技术隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机的系统后台盗取网络游戏《魔兽世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《魔兽世界》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。用户计算机系统一旦感染该病毒，则很难清除干净。另外，“魔兽”变种ata还可以查找并强行关闭多款安全软件，极大地降低被感染计算机的安全性。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户防问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。 4、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。 5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。 6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。 7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-04-30 21:24
解决kv"卡机"的方法！
转载自 江民官方论坛
本人是一个软件开发人员，所以常用到的Jbilder2006，ecli e...等等这些是必不可少的。抱了支持国产的态度***了kv，可是当我运行jubilder2006和ecli e时系统就卡机，kvmonxp.exe进程占用资源100％。
后来经本人分析得出结论：kv0的系统监控是一个不错的主动防御，为了确保系统安全kv07对所有文件进行了监控，java程序用了很多.JAR的类库，而且每一个都比较大（几十上百兆的都有），所以当启动这些程序的时候kv就对这些“庞然大物”进行扫描，而使系统出现卡机。所以用这些软件的朋友可以在文件监控中排除对这些文件的扫描（图一）
如果还卡的话你也可以在系统监控中设置（图二）去掉“试图运行程序”前面的 X
这样你的系统不会出现卡机的现象了。
注：去掉系统监控中的“试图运行程序”的 X 不会降低kv07对系统监控的能力，因为只有运行一些自解压***包会用到这个功能，如果***包中有病毒的话，“文件监控”也会把病毒拒之门外的！
如有用kv0卡机的朋友可以按上述方法试试。
现在我的kv07在我的机子上运行正常了，暂无别的问题。
=900) window.open('http://forum.jiangmin.com/UploadFile/2006-10/2006101116132403.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
=900) window.open('http://forum.jiangmin.com/UploadFile/2006-10/200610111613946.jpg');" onload="if(this.offsetWidth>'900')this.width='900';if(this.offsetHeight>'900')this.height='900';" >
jianhuaking
2008-04-30 21:24
走出误区 教你杀毒软件到底该怎么用
关于使用杀毒软件保护系统安全的问题，目前存在着两种极端:一种认为杀毒软件的实时监控会占用大量系统资源，影响系统运行速度，所以干脆不***任何杀毒软件以换取系统性能;一种则是把计算机安全环境考虑得过于严峻，于是把杀毒软件、防火墙、反木马程序、隐私保护程序一股脑的***到系统中，惟恐系统保护得不够严密。但草木皆兵不但耗费了大量的系统资源，多少还会影响使用电脑的心情。其实我们完全可以采用功能强大，系统资源占用少的防病毒软件，再加以合理的设置，这样既可以保证系统的安全，又能解决系统资源占用过多的矛盾。
　　选择优秀的杀毒软件
　　功能强大和占用资源少一直是杀毒软件的一对矛盾，好像既要马儿跑，又要马儿不吃草的味道。不过目前的杀毒软件都兼顾到了这两点，如卡巴斯基和江民的KV系列杀毒软件，对于系统内存的占用在大多数情况下只有数百KB到数MB之间，这么少的系统资源消耗对于目前的绝大多数电脑来说都开销得起。
　　合理设置实时监控
　　现有的网络病毒十分猖獗，对安全的威胁来自多方面，这就需要杀毒软件具备多项实时监控能力。以KV2006为例，它的实时监控就包括了文件监视、邮件监视、隐私保护、木马/注册表监视、网页监视等七项，如果把它们全部打开的话资源消耗自然小不了。一般来说，文件监视和网页监视是必不可少的，而像邮件监视这样的项目，如果很少收发邮件或只使用Web方式收发邮件，完全可以关闭它。其它的监视项目可以根据自己的实际情况来取舍。
　　优化杀毒速度
　　现在的硬盘堪称海量，存储的数据量也十分庞大，杀毒软件全面扫描一次耗时很长(如卡巴斯基)，让人觉得等起来很累，这也是许多人不愿意用杀毒软件的原因。其实，只要我们留意一下杀毒软件的选项，就可以发现杀毒速度是可以提高的。
　　在KV的“江民杀毒软件方案编辑器”中有一个“扫描目标”选项卡.我们可以把“解压检查”取消，因为软件检查压缩包的耗时非常长。即使压缩包中有病毒，病毒也不会发作，当把病毒解压出来的时候也会被实时监控检测到，对系统安全不会构成威胁。基于同样的道理，我们还可以在“文件过滤”选项中，增加一些扫描排除文件类型，如ISO镜像文件，MPG、***I等视频文件，MP3等音频文件，JPG等图像文件，这些文件在电脑中为数不少，而带毒的可能性却比较小。经过这样的设置，杀毒软件的扫描速度会得到大幅的提高。
　　选择合适的查毒时机
　　对任何杀毒软件来说，杀毒都是一项费时费力的活儿，而很多杀毒软件在安全上考虑得比较保守，默认设置大都是一天查一次病毒。对普通用户来说，这确实有些多余，一周查一次就足够了。另外，像KV2006和金山毒霸等软件，都具备屏保查毒功能/我们不妨开启这项功能，让软件在电脑空闲的时候自动查杀病毒，这样可做到工作杀毒两不误。KV2006还有“智能提速”功能，开启该功能后在第一次扫描病毒时会花较多时间，但以后就可以大幅提高扫描速度了，因为杀毒软件会自动跳过一些它认为不会感染病毒的文件，速度自然就快了。
jianhuaking
2008-04-30 21:25
彻底清除无法显示隐藏文件的病毒
转载自江民官方论坛
I、病情描述：
1、无法显示隐藏文件；
2、点击C、D等盘符图标时会另外打开一个窗口；
3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个恶心的文件；
4、任务管理器中的应用进程一栏里有个莫明其妙的kill；
5、开机启动项中有莫明其妙的SocksA.exe。
II、解决办法：
用了一些专杀工具和DOS下的批处理文件，都不好使，只好DIY。注意在以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键—打开。
一、关闭病毒进程
在任务管理器应用程序里面查找类似kill等你不认识的进程，右键—转到进程，找到类似SVOHOST.exe（也可能就是某个svchost.exe）的进程，右键—结束进程树。
二、显示出被隐藏的系统文件
开始—运行—regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL
删除CheckedValue键值，单击右键 新建—Dword值—命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
三、删除病毒
在分区盘上单击鼠标右键—打开，看到每个盘跟目录下有autorun.inf 和tel\.xls\.exe 两个文件，将其删除，U盘同样。
四、删除病毒的自动运行项
开始—运行—msconfig—启动—删除类似sacksa.exe、SocksA.exe之类项，或者打开注册表运行regedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindow gt;CurrentVersio gt;Run
删除类似C:\WINDOWS\system32\SVOHOST.exe 的项。
五、删除遗留文件
C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除SVOHOST.exe(注意系统有一个类似文件，图标怪异的那个类似excel的图标的是病毒)se ion.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意。重启电脑后，基本可以了。
jianhuaking
2008-04-30 21:25
北京网络行业协会、江民科技联合发布5月2日病毒播报
江民今日提醒您注意：在今天的病毒中TrojanDownloader.Agent.aeit“代理木马”变种aeit和Win32/DogArp.Gen“机器狗”变种值得关注。
病毒名称：TrojanDownloader.Agent.aeit
中 文 名：“代理木马”变种aeit
病毒长度：3328字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.aeit“代理木马”变种aeit是木马家族的最新成员之一，采用C语言编写，一般以系统服务的方式来运行。“代理木马”变种aeit运行后，破坏被感染计算机磁盘中的系统文件，绕过“还原保护系统”，破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。“代理木马”变种aeit属于恶意程序集合中的一个功能模块，伴随着该木马程序模块还会有很多其它恶意程序模块一起***到了被感染计算机的系统中。一旦用户计算机感染了该类病毒，那么很难彻底清除干净，给被感染计算机系统的用户带来不同程度的损失。
病毒名称：Win32/DogArp.Gen
中 文 名：“机器狗”变种
病毒长度：977920字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Win32/DogArp.Gen“机器狗”变种是蠕虫家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“机器狗”变种是被其它病毒程序感染的“explorer.exe”系统桌面程序，开机后随系统的启动而加载运行。“机器狗”变种运行后，首先判断被感染计算机的“%SystemRoot%\system32\dllcache\”目录下是否有“explorer.exe”系统桌面备份程序文件。如果存在，则直接调用运行；如果不存在，在后台连接骇客指定站点，下载压缩后的系统桌面程序“e.jpg”，保存为“%SystemRoot%\system32\dllcache\explorer.exe”并调用运行。在被感染计算机系统的后台连接骇客指定远程服务器站点“http://12*.2**.5.*/”，下载恶意程序“x.exe”并自动调用***运行。其中，所下载的恶意程序“x.exe”可能为网络游戏*****木马、木马下载器、蠕虫等，给用户带来不同程度的损失。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。 5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。 6、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-04-30 21:25
北京网络行业协会、江民科技联合发布5月3日病毒播报
江民今日提醒您注意：在今天的病毒中Exploit.JS.Real.z“Real蛀虫”变种z和Trojan/PSW.OnLineGames.ackj“网游窃贼”变种ackj值得关注。
病毒名称：Exploit.JS.Real.z
中 文 名：“Real蛀虫”变种z
病毒长度：4474字节
病毒类型：脚本病毒
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Exploit.JS.Real.z“Real蛀虫”变种z是“Real蛀虫”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种z一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种z的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。
病毒名称：Trojan/PSW.OnLineGames.ackj
中 文 名：“网游窃贼”变种ackj
病毒长度：12341字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.ackj“网游窃贼”变种ackj是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种ackj运行后，将DLL组件程序插入到被感染计算机系统的“explorer.exe”等进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《QQ华夏》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《QQ华夏》玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户防问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。 4、选择具备“网页防马墙”功能的杀毒软件（如KV2008），每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。 5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。 6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。 8、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。 9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-04-30 21:25
北京网络行业协会、江民科技联合发布5月4日病毒播报
江民今日提醒您注意：在今天的病毒中Trojan/PSW.Magania.cfw“玛格尼亚”变种cfw和Rootkit.ArpDriver.a“ARP杀手”变种a值得关注。
病毒名称：Trojan/PSW.Magania.cfw
中 文 名：“玛格尼亚”变种cfw
病毒长度：119102字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.cfw“玛格尼亚”变种cfw是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种cfw运行后，在“%SystemRoot%\help\”目录下释放组件“F3C74E3FA248.dll”。修改注册表，实现木马开机自动运行。采用HOOK技术和内存截取技术，在被感染计算机的后台秘密监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种cfw还会在被感染的计算机上下载更多的恶意软件、网游木马，给网络游戏玩家带来非常大的损失。
病毒名称：Rootkit.ArpDriver.a
中 文 名：“ARP杀手”变种a
病毒长度：11008字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.ArpDriver.a“ARP杀手”变种a是“ARP杀手”木马家族的最新成员之一，该木马是一个恶意的磁盘过滤驱动程序，采用C语言编写，未经过加密处理，一般以系统服务的方式来运行。当“ARP杀手”变种a被***启动后，病毒主程序会利用“ARP杀手”变种a去破坏被感染计算机磁盘中的系统文件，绕过“还原保护系统”，破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。“ARP杀手”变种a属于恶意程序集合中的一个功能模块，伴随着该木马程序模块还会有很多其它恶意程序模块一起***到了被感染计算机的系统中。一旦用户计算机感染了该类病毒，那么很难彻底清除干净，给被感染计算机系统的用户带来不同程度的损失。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。 5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。 6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。 7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-05-04 20:53
桌面幽灵”奇袭互联网 综合磁碟机等多种病毒特征
4月30日，江民反病毒中心发出紧急病毒警报，一种名为“桌面幽灵”的新病毒开始出现在互联网上，目前已有数百名用户上报电脑受该病毒感染。病毒综合了“磁碟机”“系统杀手”“ARP杀手”“机器狗”等多种恶意病毒特征于一体，不但会关闭多数杀毒软件，还会在后台窃取网游帐号密码、弹出恶意广告，严重危害电脑用户的系统和使用安全。 江民反病毒专家介绍，“桌面幽灵”系一种木马下载器蠕虫。病毒运行后，首先会将恶意代码注入到系统“svchost.exe”进程中，实现反安全软件的功能。然后，病毒会在用户电脑临时文件夹中释放***3个带有“wxp2i ”字样的恶意驱动程序，来破坏计算机的安全防护机制。最后利用恶意磁盘过滤驱动程序去覆盖“explorer.exe”系统桌面程序，借助该程序去实现开机自启动，下载包括“系统杀手”“ARP杀手”“代理木马”“机器狗”等大量木马病毒到用户计算机中***运行，给中毒电脑用户带来巨大危害。 “桌面幽灵”具有一整套的自我保护和反安全软件的机制。首先，病毒会检测自身进程是否被其它调试软件所调试分析，如果发现自身正在被调试分析则自动关闭退出，防止病毒研究人员分析该病毒。病毒会遍历当前计算机系统中的进程列表，如发现有“***P.EXE”进程存在，则设置系统年份为2001年，使某款国外杀毒由于时间处理错误的BUG，利用杀毒软件正版保护系统的设计缺陷，导致其杀毒等功能失效。。病毒在被感染计算机的后台以挂起的方式调用系统“svchost.exe”进程，并将恶意可执行代码注入到已挂起的系统“svchost.exe”进程的内存空间中，然后恢复挂起，使其系统“svchost.exe”进程开始执行恶意操作。注入的恶意代码系“Trojan/Anti***.a“系统杀手”变种a”木马病毒进程，主要用来执行自我保护和关闭多种安全软件，以及病毒自我升级和自动网页挂马等多种功能。 “桌面幽灵”在任务执行完毕后，会马上关闭退出。在退出时，被注入恶意代码的系统“svchost.exe”进程会删除掉病毒所在磁盘中的文件，使用户无法寻找到该病毒样本。 “桌面幽灵”运行后，会在系统文件下释放3个包括“wxp2i ”字样的临时文件。经分析，这3个文件分别为“ARP杀手”变种b、“ARP杀手”变种a、“代理木马”变种aeit。“ARP杀手”变种a和b的共同特征是使部分安全软件的防御系统和监控系统失效，从而达到木马免杀和躲避监控的目的。“代理木马”变种aeit通过恶意磁盘过滤驱动程序去破坏被感染计算机磁盘中的系统文件，具有绕过“还原保护系统”从而破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。上述三种病毒都是属于“桌面幽灵”恶意程序集合中的一个功能模块，伴随着这些恶意模块，还会有很多其它恶意程序模块一起***到了被感染计算机用户的系统中。如果用户计算机感染了该类病毒，那么很难彻底清除干净，给染毒计算机系统的用户带来不同程度的损失。 “桌面幽灵”还具有“机器狗”变种病毒特征，病毒通过远程下载的方式，利用恶意磁盘过滤驱动程序去覆盖“explorer.exe”系统桌面程序，在被感染计算机系统的后台去连接骇客指定远程服务器站点“http://122.224.5.16/”，下载其它恶意程序“x.exe”并自动调用***运行。其中，所下载的恶意程序“x.exe”可能为网络游戏*****木马、木马下载器、蠕虫病毒等。 江民反病毒专家认为，“桌面幽灵”系一种罕见的病毒综合体，他包含了近年来发作的多种恶性病毒几乎所有的典型特征，而且由于病毒拥有自身的升级更新服务，变种十分快速，导致很多用户电脑遭受病毒感染。 针对该病毒，江民杀毒软件KV2008（单机版/网络版）已及时升级，请用户更新杀毒软件病毒库到最新，开启主动防御和病毒实时监控，即可有效防杀该病毒于系统之外，免遭病毒侵害。
jianhuaking
2008-05-04 20:53
北京网络行业协会、江民科技联合发布5月5日病毒播报
江民今日提醒您注意：在今天的病毒中Trojan/VB.Small.aet“小不点”变种aet和Trojan/PSW.GameDLL.Gen“游戏窃贼”变种值得关注。
病毒名称：Trojan/VB.Small.aet
中 文 名：“小不点”变种aet
病毒长度：49152字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/VB.Small.aet“小不点”变种aet是“小不点”木马家族的最新成员之一，可关闭多款反病毒软件以及Windows自带的防火墙程序。“小不点”变种aet运行后，自我复制到被感染计算机的指定目录下。修改注册表，实现木马开机自动运行。禁用任务管理器、注册表编辑器等，强行关闭多款反病毒软件以及Windows自带的防火墙程序，大大降低了被感染计算机上的安全性。在被感染计算机系统的后台窃取用户的“Y!Me enger”即时通讯软件的账号、密码，并将窃取到的用户名、密码发送到骇客指定的邮箱里。另外，“小不点”变种aet还可以窃取用户计算机名、IP地址等信息，并打开被感染计算机的“远程桌面”，使得骇客可通过“远程桌面”连接到被感染的计算机，从而远程控制被感染的计算机，严重威胁用户私密信息安全。
病毒名称：Trojan/PSW.GameDLL.Gen
中 文 名：“游戏窃贼”变种
病毒长度：可变
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GameDLL.Gen“游戏窃贼”变种是木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“游戏窃贼”变种运行后，自我插入到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取《热血江湖》、《罗汉》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。 5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。 6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。 7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。 8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-05-05 22:05
北京网络行业协会、江民科技联合发布5月6日病毒播报
江民今日提醒您注意：在今天的病毒中Trojan/Agent.a x“代理木马”变种a x和I-Worm/Zhelatin.bmm“哲拉蒂”变种bmm值得关注。
病毒名称：Trojan/Agent.a x
中 文 名：“代理木马”变种a x
病毒长度：12011字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Agent.a x“代理木马”变种a x是“代理木马”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“代理木马”变种a x运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下。自我注册为系统服务，实现木马开机自动运行。将恶意代码注入到“explorer.exe”或者“winlogon.exe”进程并调用运行，以躲避某些杀毒软件的查杀以及防火墙的拦截。连接骇客指定的服务器站点，侦听骇客指令，对某一IP地址发送大量数据包进行洪水攻击、停止攻击、从指定地址下载恶意程序并运行等。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。
病毒名称：I-Worm/Zhelatin.bmm
中 文 名：“哲拉蒂”变种bmm
病毒长度：123754字节
病毒类型：网络蠕虫
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
I-Worm/Zhelatin.bmm“哲拉蒂”变种bmm是“哲拉蒂”网络蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“哲拉蒂”变种bmm运行后，自我复制到被感染计算机系统的“%SystemRoot%\”目录下，并重命名为“noskrnl.exe”。修改注册表，实现“哲拉蒂”变种bmm开机自动运行。从被感染的计算机上搜索有效的邮箱地址，利用被感染计算机群发带毒邮件。在后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 4、请不要随意打开邮件中给出的链接以及附件，尤其是来历不明的邮件，以免中毒。 5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。 6、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.a . 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务***800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。
jianhuaking
2008-05-06 22:07
熊猫烧香后又一厉害病毒清除方法
病毒名为：Trojan-Dro er.Win32.Agent.bct
　　大家小心防范，该病毒会自动感染所有的盘，和前几个月的那个rose病毒有点相似
　　下面是方法：
　　在系统根目录生成并运行_.de，生成_.de.bat，自杀
　　生成x:\windows\system\internat.exe(若先前有同名目录，则把那个文件夹改名为internat.exe.tmp)
　　各盘下生成autorun.inf和setup.exe
　　运行命令cmd.exe /c dir 系统盘以外的盘:\*.exe /s /b C:\WINDOWS\win.log
　　根据win.log里的文件来感染EXE
　　文件感染后增大26890字节
　　查杀方法：
　　1、用命令管理器结束internat.exe这个进程;
　　2、删除X:\windows\system\internat.exe;
　　3、用右键进入各盘，删除下面的autorun.inf和setup.exe;
　　4、在系统盘根目录创建一个名为_.de的文件夹;
　　5、用杀毒软件彻底扫描全部硬盘，被感染不能修复的删不删除都可。
　　这样，被感染的EXE虽然还没修复，但毒是不会复发了的。你可以运行它，慢慢等到杀软可以杀它的时候吧。
　　第二方法：
　　或把以下内容保存为jy.reg，再双击导入
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Opti*****\internat.exe]
　　"Debugger"="internat.exe"
　　这样，internat.exe就不会运行了
jianhuaking
2008-05-06 22:07
北京网络行业协会、江民科技联合发布5月7日病毒播报
江民今日提醒您注意：在今天的病毒中Trojan/Anti***.a“系统杀手”变种a和TrojanSpy.Ie y.bw“IE大盗”变种bw值得关注。
病毒名称：Trojan/Anti***.a
中 文 名：“系统杀手”变种a
病毒长度：94208字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Anti***.a“系统杀手”变种a是“系统杀手”木马家族的最新成员之一，是一个被其它恶意程序注入到系统“svchost.exe”进程内存空间中的木马程序，采用VC++ 6.0编写，并经过加壳处理。“系统杀手”变种a运行后，自动检测自身进程是否被其它调试软件所调试分析，一旦发现便自动关闭退出。创建“tls”事件，创建“\\.\AttObject1”设备。强行将系统时间设置为2001年，导致某些安全软件杀毒和保护功能失效。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放3个恶意驱动文件，文件名随机生成，并将文件属性设置为隐藏。第1个驱动文件可还原系统“SSDT HOOK”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的；第2个和第3个驱动文件均可覆盖破坏系统桌面程序“explorer.exe”，把恶意可执行代码写入到系统桌面程序中，具有绕过“还原保护系统”，覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程，强行将其关闭。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行，利用该批处理程序去关闭“系统防火墙”。修改注册表，利用进程映像劫持功能禁止指定的安全软件运行。在被感染计算机系统的后台连接骇客指定站点，下载更多的恶意程序并在被感染计算机上自动调用运行，给用户带来极大的损失。另外，“系统杀手”变种a不仅具有自升级的功能，而且具有自动网页挂马的功能。
病毒名称：TrojanSpy.Ie y.bw
中 文 名：“IE大盗”变种bw
病毒长度：61074字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Ie y.bw“IE大盗”变种bw是“IE大盗”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理，一般以DLL组件文件的形式存在，利用“BHO”劫持技术在被感染计算机系统中随IE浏览器的启动而加载运行。“IE大盗”变种bw运行后，在被感染计算机系统的后台利用HOOK和键盘记录等技术盗取用户在IE浏览器中输入的几乎所有机密信息资料（其中包括：用户名、密码、浏览的网址等），并在被感染计算机后台将窃取到的用户信息发送到骇客指定的远程服务器站点上，给用户带来不同程度的损失。
针对以上病毒，江民反病毒中心建议广大电脑用户： 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。 4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。 5、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。 6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户防问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。 7、利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。