人生导航 － 2008年5月30日计算机热门病毒播报

一、网络行业协会、瑞星联合发布5月30日热门病毒预警 

 据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“线上游戏窃取者变种NPT(Trojan.PSW.Win32.GameOL. npt)”病毒。这是个偷取游戏密码的病毒，它会注入到系统Explorer.Exe进程中，查找游戏进程，窃取游戏密码后发送给黑客指定的网址。
本日热门病毒：
“线上游戏窃取者变种NPT (Trojan.PSW.Win32.GameOL. npt)”病毒：

警惕程度★★★，

盗号木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。
这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。
反病毒专家建议电脑用户采取以下措施预防该病毒：

1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次；

2、使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞；

3、不浏览不良网站，不随意下载安装可疑插件；

4、不接收QQ、MSN、Email等传来的可疑文件；

5、上网时打开杀毒软件实时监控功能；

6、把网银、网游、QQ等重要软件加入到“瑞星账号保险柜”中，可以有效保护密码安全；

7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡5.2，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。
如遇病毒，请拨打反病毒急救电话：82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。

二、网络行业协会、江民联合发布5月30日热门病毒预警

江民今日提醒您注意：在今天的病毒中TrojanDownloader.Losabel.aq“露萨”变种aq和TrojanSpy.Iespy.d“IE大盗”变种d值得关注。

病毒名称：TrojanDownloader.Losabel.aq
中 文 名：“露萨”变种aq
病毒长度：76288字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Losabel.aq“露萨”变种aq是“露萨”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“露萨”变种aq运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重命名为“Mousie.exe”。在被感染计算机系统的后台秘密监视正在运行的进程名和已打开的窗口标题，一旦发现某些安全软件程序正在运行，马上将其强行关闭。破坏注册表项，致使无法显示隐藏文件。遍历用户计算机的C到Z驱动器，创建病毒副本，利用U盘、移动硬盘等移动设备进行传播。在被感染计算机系统的后台连接骇客指定站点，获取恶意程序的下载地址列表，在被感染的计算机上下载所有的恶意程序并自动调用运行。强行篡改注册表，实现进程映像劫持，导致用户运行某些安全程序时实际上运行的是“露萨”变种aq主程序，甚至系统自带的任务管理器也无法正常运行。“露萨”变种aq执行安装程序完毕后会自我删除。另外，“露萨”变种aq还可以自升级。

病毒名称：TrojanSpy.Iespy.d
中 文 名：“IE大盗”变种d
病毒长度：7312字节
病毒类型：间谍类木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Iespy.d“IE大盗”变种d是“IE大盗”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“IE大盗”变种d运行后，在被感染计算机系统“%SystemRoot%\system32\”目录下释放病毒DLL组件“mswapi.dll”。修改注册表，自我注册为浏览器辅助插件（BHO），实现木马随IE浏览器的启动而加载运行。在被感染计算机系统的后台利用HOOK技术和键盘记录等技术盗取用户在IE浏览器中输入的几乎所有机密信息资料（包括：浏览的网址甚至是用户名、密码等机密信息），并将窃取到的用户信息发送到骇客指定的远程服务器站点上，给用户带来不同程度的损失。另外，“IE大盗”变种d完成安装释放的过程后会自我删除，消除痕迹。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。
    6、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页，如检测发现恶意网页，用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

三、网络行业协会、金山联合发布5月30日热门病毒预警 

“播放器漏洞脚本2136”（JS.Agent.tv.2136），这是一个下载器程序。它利用RealPlayer多媒体软件的漏洞来运行，一旦运行成功将会从指定的地址下载木马程序执行。
 “武装下载器77824”（Win32.Troj.Agent.bl.77824），这是一个具有对抗安全软件能力的病毒下载器。它通过重定位内核文件恢复系统的SSDT表，从而使一些具有所谓“主动防御”的安全软件失效。接着，就连接远程地址，下载其它病毒。

一、“播放器漏洞脚本2136”（JS.Agent.tv.2136） 

 威胁级别：★★
 从数周前开始，RealPlayer的漏洞利用病毒数量开始异常增多，毒霸反病毒工程师几乎每天都能截获到大量利用RealPlayer漏洞进行破坏的脚本病毒，相信这种情况与病毒制作集团不断开发新的病毒生成器有较大关系。
 此篇预警播报中的病毒是众多RealPlayer漏洞利用脚本病毒中的一个变种，它和其它变种一样，都是利用网页挂马和捆绑视频文件的方式进行传播。只要用户浏览被挂马的网站，或者播放了含毒视频文件，病毒就可以在用户系统中发作。
 病毒运行起来后在后台建立远程连接，从病毒作者指定的地址http://www.d**io.com下载一个病毒文件，并保存到系统盘的%WINDOWS\system32\目录下，命名为%a.exe。
 受此毒影响的RealPlayer版本为6.0.10.4，安装得有该版本的用户请尽快下载升级文件。
 关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/js-agent-tv-2136-50635.html

二、“武装下载器77824”（Win32.Troj.Agent.bl.77824） 

 威胁级别：★
 这个下载器病毒带有自己驱动文件，因此对抗安全软件的能力相对普通病毒来说要高出许多。它如果进入用户系统，就会利用自己的驱动，重定位内核文件，恢复用户电脑中的SSDT表。这样一来，一些具有所谓“主动防御”功能的安全软件的防御能力就会大大降低。
 病毒进入系统后，会判断当前的WINDOWS操作系统是否为 2000、XP或2003版本，如果是，则在系统临时目录%Temp% 文件夹下释放出驱动文件。然后修改注册表，创建服务名为“winsync32”的系统服务，服务路径指向正是之前释放出的驱动文件。
 等驱动文件解除了安全软件的“武装”，病毒就把自身文件msosiocp.dll复制至 %WINDOWS%\system32\目录下，并将其注入系统桌面进程explorer.exe，实现隐蔽运行。如果可以成功运行起来，它就可以连接病毒作者指定的地址http:/ /c.1**dm.com/下载一份名为okok.txt的下载列表，根据列表中的地址去下载更多其它病毒到用户电脑中运行，引起更多的破坏行为。
 关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-bl-77824-50636.html
 

 金山反病毒工程师建议
 1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
 2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。
 金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月30的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。