来源:华军资讯　作者:董先颖整理

华军资讯提醒您：本周出现几种新的电脑病毒，值得大家高度重视，华军总结了几家病毒软件发布的重点病毒播报，希望大家加强防范，注意安全。

　　金山：

　　一、“梦幻西游盗号器135168”(Win32.TrojDownloader.Delf.135168)威胁级别：★★

　　盗号木马依然是目前计算机病毒的主流，并且木马制作者间的竞争也越来越激烈。毒霸反病毒工程师近日就又捕获一个会“黑吃黑”的盗号木马。

　　病毒原文件在进入用户电脑后，就释放出文件inell.exe到系统盘%Program Files%目录下运行，搜索并修改hosts文件，屏蔽部分其它盗号木马的下载站点，破坏它们的正常运行，以达到黑吃黑的目的。

　　这个inell.exe文件在完成以上工作的同时，还会释放出一个HBKrnl.dll病毒文件到%windows%\system32\目录中，并将它写入注册表启动项，达到开机自动启动之目的。整个木马窃取信息的任务将由这个dll文件来完成。

　　当随着系统启动，病毒文件检测系统内是否存在my.exe进程，监控梦幻西游文件mhmain.dll是否处于活动状态，如发现处于活动状态则关闭游戏进程，用户重新进入游戏时记录帐号密码等信息，窃取成功后发送到病毒作者指定的多个地址，令用户遭受虚拟财产的损失。

　　顺便提及的是，该毒具有自删除功能，运行完毕后就会删除自己的原始文件。不过习惯手动杀毒的用户依然可以根据其释放出的文件发现该毒的蛛丝马迹。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-delf-135168-50711.html

　　二、“黑客学徒291840”(WIN32.Vking.cc.291840)威胁级别：★★

　　这是一个黑客木马程序的变种，它参考了维金病毒的一些技术，试图对中毒电脑实行远程控制。

　　病毒运行时将自身文件suchost.exe拷贝至%WINDOWS%\SYSTEM32\Drivers\目录下，通过修改注册表中的相关数据，将其设置为隐藏文件，避免被用户发现。同时，把它添加到注册表的启动项中，实现开机自启动。

　　病毒接下来会启动感染线程。感染时，它将正常文件附加在自己文件的末尾，这样当用户运行正常文件时，它就能抢先运行起来，然后再释放出原始文件并执行。因为这个过程只不过是一瞬间的事，用户不会察觉。不过，有一个特征值得留意，就是该毒会在它到过的每个文件夹内创建文件Desktop_.ini，内容为当天日期。

　　完成以上工作，病毒就会尝试删除卡巴斯基、麦咖啡、赛门铁克、金山毒霸、NOD32、SSM、SREng、Network Associates、冰刃等安全软件服务进程。当失去安全软件的监控，病毒就可以自由地连接病毒作者指定的远程地址http://www.d_**g**.com/ ，下载最新的更新文件，并等待病毒作者(黑客)的指令，帮助黑客控制中毒电脑。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-vking-cc-291840-50712.html

　　瑞星：
　　
　　“安德夫木马变种IES(Trojan.Win32.Undef. ies)”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。
　　这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

　　江民：

　　病毒名称：Trojan/PSW.Ganhame.c

　　中 文 名：“甘哈拇”变种c

　　病毒长度：73728字节

　　病毒类型：木马

　　危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.Ganhame.c“甘哈拇”变种c是“甘哈拇”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“甘哈拇”变种c运行后，自我插入到被感染计算机中的某些系统进程内加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取韩国网络游戏《MGAME》玩家的游戏帐号、游戏密码等机密信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《MGAME》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“甘哈拇”变种c还具有躲避防火墙监控的功能，大大降低了被感染计算机上的安全性。

　　病毒名称：Trojan/KillAV.fk

　　中 文 名：“AV杀手”变种fk

　　病毒长度：61440字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/KillAV.fk“AV杀手”变种fk是“AV杀手”木马家族的最新成员之一，采用高级语言编写。“AV杀手”变种fk运行后，在被感染计算机的指定目录下释放恶意驱动文件(文件名随机生成)并加载运行，还原操作系统的“SSDT HOOK”，致使部分安全软件的防御系统和监控系统失效。提升自身权限，利用恶意驱动程序强行关闭大量流行安全软件，大大降低了被感染计算机上的安全性。强行篡改注册表内容进行映像劫持，禁止近百种安全软件、安全辅助工具以及调试程序的运行，导致用户计算机系统毫无安全保障，严重威胁用户计算机的安全。在被感染计算机系统“%SystemRoot%\system32\”目录下释放病毒组件并加载运行。在被感染计算机系统的后台连接骇客指定站点，下载恶意程序。其中，所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等，给被感染计算机用户带来不同程度的损失。

　　卡巴斯基：

　　本周关注病毒：

　　病毒名称：Trojan-Spy.Win32.FlyStudio.av(木马间谍变种之伪装者)

　　文件大小：793076字节

　　病毒类型：木马

　　危害等级：★★★★★

　　影响的平台：WIN9X/ME/NT/2000/XP/2003

　　病毒表现(X代表任意数字与字母的组合)：

　　此病毒运行后创建以下文件 C:\WINDOWS\system32\winslb.dll C:\WINDOWS\system32\winslb.exe 。

　　专家建议:

　　1.在任务管理器中查看是否有陌生的比较可疑的进程存在。

　　2.及时打全系统补丁。

　　3.在使用MSN或QQ类的即时聊天工具时，注意它们运行是否正常。

　　4.尽快安装卡巴斯基反病毒软件并开启实时监控功能。

　　5.注意经常更新杀毒软件的病毒库来阻止被新病毒感染。

　　手动查杀方法:

　　在安全模式下删除以下文件 C:\WINDOWS\system32\winslb.dll C:\WINDOWS\system32\winslb.exe 。

　　以上是华军每周给大家带来病毒播报，希望对大家有帮助。