3月25日病毒预警

金山毒霸每日病毒预警

“BHO下载器1015296”（Win32.TrojDownloader.Delf.1015296），这是一个木马下载器程序。它会注册为“BHO”插件，随着系统桌面进

程E xplorer.exe启动，创建独立线程连接网络，下载其它木马程序到用户电脑中运行。

“替身下载器49152”（Win32.TrojDownloader.Guupk.ps.49152），这是一个木马后门程序。该程序会释放WMI测试程序，更改公共信息模型类、实例和方法等，启动IE从指定网址下载一些木马。浏览器

一、“BHO下载器1015296”（Win32.TrojDownloader.Delf.1015296）威胁级别：★★

BHO是微软推出的一种交互接口的业界标准，它使第三方的软件通过简单的代码就可以进入IE浏览器领域的“交互接口”，成为浏览器的一部分，以实现对浏览器进行指定的操作。这个技术本事为了扩展IE的功能，为IE用户提供便利。但是，病毒作者也学会了利用这一技术来控制他人电脑。下面发出预警的这个病毒，就是一个利用BHO传播的木马下载器。

这个病毒进入用户系统后，将病毒文件TDAtOnce_Now.dll释放到系统盘的%Document and Settings%/All Users/Application Data/Intel/Wireless/WLANProfiles/目录下，然后修改系统注册表，将自己注册为BHO插件，劫持了IE浏览器的运行。

以后只要用户启动电脑，病毒就可以随着桌面系统进程Explorer.exe运行起来，然后在用户使用IE浏览器时，悄悄建立远程连接，从http://m*s.*8.com/sg/send2.asp、http://www.j9***3.com等多个由病毒作者指定的远程地址下载木马程序。

预防BHO木马比较有效的方法，是尽可能不要浏览不良网站，也不要去非法下载网站下载资料，并且打开“清理专家”中的网页防挂马功能。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-trojdownloader-delf-1015296-50484.html

二、“替身下载器49152”（Win32.TrojDownloader.Guupk.ps.49152）威胁级别：★★

病毒进入电脑后，在系统盘的%WINDOWS%/system32/wbem/Repository/FS/目录下释放出病毒文件INDEX.MAP、MAPPING.VER、MAPPING1.MAP、OBJECTS.MAP，用它们替换掉同名的系统文件，从而达到更改公共信息模型类、实例和方法的目的。一旦替换完成，它就能在用户电脑中肆意破坏了。

接着，病毒在注册表中添加了注册项，实现自动启动之目的，如果用户进行手动查杀，在检查注册表时需留意病毒的启动项名为“EXE”，对应路径为“%ProgramFiles%/CommonFiles/System/GU.exe”。

当完成以上步骤，顺利运行起来，木马会自动连接木马种植者指定的多个站点，下载其它木马到用户电脑上运行。虽然目前木马种植者已经关闭了这些链接，但不排除恢复链接或在升级后的病毒中安排新链接地址的可能。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-trojdownloader-guupk-ps-50485.html

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年3月24的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

江民3月25日病毒播报：小心“REAL蛀虫”“QQ大盗”病毒

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQPass.dbn“QQ大盗”变种dbn和Exploit.JS.Real.t“Real蛀虫”变种t值得关注。

病毒名称：Trojan/PSW.QQPass.dbn

中 文 名：“QQ大盗”变种dbn

病毒长度：10148字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.QQPass.dbn“QQ大盗”变种dbn是“QQ大盗”木马家族的最新成员之一，采用Delphi语言编写， 并经过加壳保护处理。“QQ大盗”变种dbn运行后，在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息，并强行删除用户计算机中的腾讯QQ医生程序文件，从而保护自身不被查杀。修改注册表，实现木马开机自动运行。在后台盗取被感染计算机用户的QQ帐号、QQ密码、会员信息、IP地址、IP所属区域等信息，并在被感染计算机后台将窃取到的这些信息发送到骇客指定的远程服务器站点上或指定的邮箱里，给用户带来不同程度的损失。

病毒名称：Exploit.JS.Real.t

中 文 名：“Real蛀虫”变种t

病毒长度：10109字节

病毒类型：脚本病毒

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Exploit.JS.Real.t“Real蛀虫”变种t是“Real蛀虫”脚本病毒家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种t一般内嵌在正常网页中，如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种t的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

 

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户防问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。

4、选择具备“网页防马墙”功能的杀毒软件（如KV2008），每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。

5、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。

6、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

8、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。

9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。