“魔笛斯”加密难清除 “克莱客”远程控制计算机

    8月18日，据江民反病毒中心监测数据显示，上周该中心共截获新病毒22401种，全国共有377462台计算机感染了病毒，较前一周下降了8.7%。其中“Flash蛀虫”变种和“网游窃贼”变种mef病毒均有明显上升趋势，用户需提高警惕。

   值得引起关注的是，上周监测到的“魔笛斯”变种d病毒，该病毒会将一些关键性的数据信息加密存放在木马驱动程序文件体内，用户感染病毒后很难清除干净。同时该病毒会致使某些安全软件的主动防御功能失效（无法关闭江民杀毒软件KV2008），防止自身以及木马主程序被安全软件所查杀，严重威胁用户计算机系统的安全。

  另外上周还监测到一个可以远程控制被感染计算机的“克莱客”变种au病毒，骇客可以通过该病毒对被感染计算机执行包括：文件操作，进程操作，注册表操作，服务操作，屏幕监控，键盘记录，摄像头抓图，命令操作等恶意操作，同时该病毒还能在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，下载大量的恶意程序并在被感染计算机上自动运行，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。

  江民反病毒专家建议广大用户，一定要选用具备“主动防御”和“自我保护”功能的杀毒软件，上网时要开启江民杀毒软件的实时监控功能。同时专家特别指出，江民杀毒软件KV2008拥有强大的自我保护技术，能够利用驱动程序在系统最底层提供强大而全面的保护，该保护措施阻止了目前所有已知的破坏手段，保证了软件的顺利运行。
     
    上周值得关注的典型病毒：“魔笛斯”变种d和“克莱客”变种au

病毒名称：Trojan/Multis.d
中 文 名：“魔笛斯”变种d
病毒长度：8832字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
   Trojan/Multis.d“魔笛斯”变种d是“魔笛斯”木马家族的最新成员之一，采用高级语言编写。“魔笛斯”变种d是由某木马程序释放出来的驱动文件，采用高级ROOTKIT技术编写而成，一般被注册为设备驱动，以实现木马程序开机自动运行。“魔笛斯”变种d运行后，恢复系统SSDT，致使某些安全软件的主动防御功能失效。通过HOOK SSDT以及HOOK IRP来隐藏病毒进程、病毒文件和病毒在注册表中的启动项，防止自身以及木马主程序被安全软件所查杀。其中，一些关键性的数据信息在木马驱动程序文件体内是加密存放的，一旦用户计算机系统感染该病毒，则很难清除干净。

病毒名称：Worm/Kolabc.au
中 文 名：“克莱客”变种au
病毒长度：368128字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
   Worm/Kolabc.au“克莱客”变种au是“克莱客”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“克莱客”变种au运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下，重命名为“schrars.exe”。自我添加为系统服务，实现蠕虫开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。在被感染计算机的后台连接骇客指定站点，下载大量的恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。与骇客指定的服务器站点建立网络连接，骇客可通过“克莱客”变种au远程控制被感染的计算机，可执行的恶意操作包括：文件操作，进程操作，注册表操作，服务操作，屏幕监控，键盘记录，摄像头抓图，命令操作等，给用户的计算机安全和个人隐私，甚至商业机密造成严重威胁。另外，“克莱客”变种au还具有自我删除的功能，以便消除痕迹。