11月27日病毒预警 "西伯利亚渔夫"连接钓鱼站

11月27日病毒预警 "西伯利亚渔夫"连接钓鱼站#e#11月27日病毒预警 "西伯利亚渔夫"连接钓鱼站#e#瑞星反病毒资讯网消息

推荐下载：瑞星杀毒软件

    据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“安德夫木马释放器变种GH（Dropper.Win32.Undef.gh）”病毒。该病毒通过网络传播，是一个释放型病毒，该病毒经常使用IE图标，会释放其它病毒，被释放的病毒会破坏exe文件，而且exe一旦被病毒修改将无法恢复，给用户电脑带来严重威胁。

本日热门病毒：

“安德夫木马释放器变种GH（Dropper.Win32.Undef.gh）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

    这是一个释放型病毒，该病毒经常使用IE图标，病毒运行后，会释放其它病毒，释放的病毒使用RAR图标。病毒运行后，在Windows目录下释放自己，然后在Program Files目录下释放RAR图标的病毒。在“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\”下创建快捷方式，指向Windows目录下的病毒，达到开机启动的目的。释放的RAR图标的病毒是属于破坏型的，它会找到EXE文件，然后把自己的代码写入EXE文件，使用的方式是覆盖。被修改的EXE文件其实就是病毒，运行被修改过的文件就运行了病毒，被修改过的EXE文件不能被恢复，给用户电脑带来严重威胁。

    反病毒专家建议电脑用户采取以下措施预防该病毒：1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手，并及时升级，瑞星杀毒软件每天至少升级三次；2、使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞；3、不浏览不良网站，不随意下载安装可疑插件；4、不接收QQ、MSN、Email等传来的可疑文件；5、上网时打开杀毒软件实时监控功能；6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全；7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡6.0，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

进入下一页，查看金山安全中心消息“西伯利亚渔夫”劫持浏览器 连接钓鱼网站”

#p#

金山安全中心消息

11.26病毒预警：“西伯利亚渔夫”劫持浏览器 连接钓鱼网站

推荐下载：金山毒霸杀毒软件
新版体验：金山毒霸 2009新版体验

　　“西伯利亚渔夫”（Win32.Troj.Agent.ib.69632），这是一个专门劫持浏览器的木马。它通过修改用户的DNS设置，使用户在浏览正常网站时，被指引到病毒作者指定的钓鱼网站。病毒作者还采用一系列复杂的加密手法，试图干扰安全软件的正常查杀。

　　“坏男孩木马440468”（Win32.WhBoy.f.440468），这是一个远程控制木马。它能穿透系统还原软件的保护，在用户电脑中建立后门，等待黑客入侵。

　　一、“西伯利亚渔夫”（Win32.Troj.Agent.ib.69632）威胁级别：★★

　　一个为钓鱼网站量身打造的病毒，近日被毒霸反病毒工程师捕获，该毒对用户具有非常大的威胁，它会修改系统DNS地址、监视多个与网络浏览器有关的函数，只要发现用户启动浏览器，就将用户引导到病毒作者精心制作的钓鱼网站，进行各种诈骗活动。

　　毒霸反病毒工程师跟踪该毒多个变种中包含的服务器地址后发现，此毒所指向的域名解析服务器主要位于俄罗斯、白俄罗斯、乌克兰等地区，不过，这并不代表此毒就一定是这些地区黑客的作品，因为黑客们通常都是在全球各地租用服务器作案的。

　　毒霸反病毒工程师认为，这是一个非常危险的行为，比如，通过修改DNS，黑客可以在不修改网站域名的情况下，把使用网上银行的用户直接引导到高仿真的钓鱼网站，轻松套取帐号密码信息。因为从地址到界面，所有的信息和正常网站都一样，即便是拥有丰富网络安全知识的资深用户，如果事前不知道，一样会中招上当。

　　同时，此毒还具有后门木马的功能，它会连接到一台位于美国加州的服务器64.28.1*8.2*1，收发黑客指令，帮助黑客窃取任何有价值的信息，或者是控制电脑。

　　需要提及的是，这个病毒具有一定程度的对抗能力，它运行后首先会检查系统中是否存在进程ieuser.exe，这是Vista系统中与浏览器安全有关的一个进程，如果发现该进程，病毒就会将其强行关闭。而且由于它在系统一些关键的文件中会留有“分身”，无论用户怎样删除它，电脑刷新后就又会出现。

　　毒霸可以彻底清除该毒，已经安装毒霸的用户不必担心。如果您已安装其它杀毒软件，不便卸载，也可以使用金山免费提供的修复工具“金山系统急救箱”来进行检查和修复。

　　“金山系统急救箱”下载地址http://bbs.duba.net/thread-21988813-1-1.html

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-agent-ib-69632-52530.html

　　二、“坏男孩木马440468”（Win32.WhBoy.f.440468）威胁级别：★

　　该毒的危害主要是在用户电脑里建立远程连接，等待黑客入侵。

　　病毒的母体suchost.exe会被释放到%WINDOWS%\SYSTEM32\drivers\目录中。它将自己的文件写入系统注册表启动项，实现开机自启动，并利用自带的驱动文件go.sys恢复系统SSDT表，突破系统还原软件的防御。然后执行%WINDOWS%目录下的病毒主文件RMking.exe.exe，制造后门，建立远程连接。

　　该毒具有自删除的功能，当后门建立后，就删除自己的母体，避免被用户发现。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-whboy-f-440468-52538.html

进入下一页，查看江民科技消息“‘卡拉蜜’变种ju和‘U盘寄生虫’变种cbm值得关注”

#p#

江民科技消息

11月26日病毒播报：“卡拉蜜”变种ju和“U盘寄生虫”变种cbm值得关注

推荐下载：江民杀毒软件
新版体验：江民KV2009 正式版

   江民今日提醒您注意：在今天的病毒中Packed.Krap.ju“卡拉蜜”变种ju和Worm/AutoRun.cbm“U盘寄生虫”变种cbm值得关注。

英文名称：Packed.Krap.ju
中文名称：“卡拉蜜”变种ju
病毒长度：171520字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Packed.Krap.ju“卡拉蜜”变种ju是“卡拉蜜”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，通过在系统注册表启动项中添加键值来实现开机自启动。“卡拉蜜”变种ju运行时，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出，从而达到自我保护的目的。“卡拉蜜”变种ju是一个盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。同时，该木马还会窃取“雅虎通（Yahoo! Messenger）”和“Yahoo奇魔”的账号信息，并在后台将其发送给骇客。另外，“卡拉蜜”变种ju还具备自我更新的功能，以不断躲避杀毒软件的围剿。

英文名称：Worm/AutoRun.cbm
中文名称：“U盘寄生虫”变种cbm
病毒长度：49781字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.cbm“U盘寄生虫”变种cbm是“U盘寄生虫”蠕虫家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL病毒文件，一般会被注入到几乎所有用户级权限的进程中运行，隐藏自身以蒙蔽用户和防止被查杀。“U盘寄生虫”变种cbm是一个专门盗取即时聊天工具“腾讯QQ”账号信息的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取“QQ”的账号信息，并在后台将窃取到的内容发送到骇客指定的远程服务器站点上，给用户造成了一定程度上的损失。另外，“U盘寄生虫”变种cbm会修改系统注册表，实现开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值，并能够有效阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外，更好地保护用户计算机的安全。
    5、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp