反杀者利用映像劫持技术传播病毒

江民今日提醒您注意：在今天的病毒中TrojanDownloader.ACVE.d“反杀者”变种d和Backdoor/Agent.bszb“代理”变种bszb值得关注。

英文名称：TrojanDownloader.ACVE.d
中文名称：“反杀者”变种d
病毒长度：11441字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.ACVE.d“反杀者”变种d是“反杀者”木马下载器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“反杀者”变种d运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“systemIdIe.exe”。修改注册表，实现木马开机自动运行。在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放病毒组件文件“Winsp.dll”和“kisawids.sys”。在被感染计算机的后台遍历当前系统中所有进程，一旦发现某些安全软件进程存在便会尝试将其结束。利用进程映像劫持功能，试图屏蔽用户系统中某些安全软件的运行。利用域名映像劫持功能在被感染计算机的后台强行篡改系统中的Hosts文件，屏蔽某些安全站点，阻止用户对这些安全网站的访问，从而达到自我保护的目的。“反杀者”变种d还会在被感染计算机系统的后台连接骇客指定远程服务器站点“http://www.m*d17*.cn/”，获取配置文件“o.jpg”，根据该文件中的设置执行相应的恶意操作。另外，“反杀者”变种d在被感染计算机系统中安装完毕后会将自身的安装程序删除掉，以达到消除痕迹的目的。

英文名称：Backdoor/Agent.bszb
中文名称：“代理”变种bszb
病毒长度：32256字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Backdoor/Agent.bszb“代理”变种bszb是“代理”后门家族中的最新成员之一，采用VC++编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，运行后会将恶意可执行代码注入到系统“lsass.exe”进程中调用运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“代理”变种bszb属于反向连接后门程序，会在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取远程控制端的真实地址，然后侦听骇客指令，从而达到骇客远程控制被感染计算机的目的。该后门具有远程监视、控制等功能，它可以对文件进行任意操作、监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可能会窃取用户计算机中存放着的机密信息，修改或删除这些机密资料，给用户的计算机安全和个人隐私带来严重的威胁，甚至对商业机密造成无法挽回的损失。用户计算机一旦感染了“代理”变种bszb便会变成网络僵尸傀儡主机，骇客会利用被感染的计算机对任意站点进行DDoS攻击、洪水攻击等。另外，“代理”变种bszb还会通过自我注册为系统服务来实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp