5.7病毒播报:"系统杀手""IE大盗"木马病毒 感染系统文件

江民今日提醒您注意：在今天的病毒中Trojan/AntiAV.a“系统杀手”变种a和TrojanSpy.Iespy.bw“IE大盗”变种bw值得关注。

病毒名称：Trojan/AntiAV.a
中 文 名：“系统杀手”变种a
病毒长度：94208字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/AntiAV.a“系统杀手”变种a是“系统杀手”木马家族的最新成员之一，是一个被其它恶意程序注入到系统“svchost.exe”进程内存空

间中的木马程序，采用VC++ 6.0编写，并经过加壳处理。“系统杀手”变种a运行后，自动检测自身进程是否被其它调试软件所调试分析，一旦

发现便自动关闭退出。创建“tls”事件，创建“\\.\AttObject1”设备。强行将系统时间设置为2001年，导致某些安全软件杀毒和保护功能失

效。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放3个恶意驱动文件，文件名随机生成，

并将文件属性设置为隐藏。第1个驱动文件可还原系统“SSDT HOOK”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的；

第2个和第3个驱动文件均可覆盖破坏系统桌面程序“explorer.exe”，把恶意可执行代码写入到系统桌面程序中，具有绕过“还原保护系统”

，覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程，强

行将其关闭。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行，利用该批处理程序去关闭“系统防火墙

”。修改注册表，利用进程映像劫持功能禁止指定的安全软件运行。在被感染计算机系统的后台连接骇客指定站点，下载更多的恶意程序并在

被感染计算机上自动调用运行，给用户带来极大的损失。另外，“系统杀手”变种a不仅具有自升级的功能，而且具有自动网页挂马的功能。

病毒名称：TrojanSpy.Iespy.bw
中 文 名：“IE大盗”变种bw
病毒长度：61074字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Iespy.bw“IE大盗”变种bw是“IE大盗”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理，一般以DLL组件文件

的形式存在，利用“BHO”劫持技术在被感染计算机系统中随IE浏览器的启动而加载运行。“IE大盗”变种bw运行后，在被感染计算机系统的后

台利用HOOK和键盘记录等技术盗取用户在IE浏览器中输入的几乎所有机密信息资料（其中包括：用户名、密码、浏览的网址等），并在被感染

计算机后台将窃取到的用户信息发送到骇客指定的远程服务器站点上，给用户带来不同程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计

算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    6、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户防问带有木马和恶意脚本的恶意网页并进行处理，有效保

障用户上网安全。
    7、利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。
    8、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.