金山毒霸每日病毒预警

“套娃下载器9032”（PE.WYCao.a.9032），这是一个由汇编语言编写的感染型病毒。它能通过感染EXE文件和利用AUTO技术的方式传播。当进入用户系统，就会释放出下载器程序，建立下载行为，并感染更多正常文件。

“野狗下载器40960”（Win32.Hack.PcClient.40960），这是一个类似于机器狗的木马下载器。它会尝试用修改系统时间、解除主动防御、结束进程等方式，破坏多款安全软件的正常运行，然后下载大量的木马程序。

一、“套娃下载器9032”（PE.WYCao.a.9032）  威胁级别：★

这个病毒由于同时采取感染和AUTO两种方式，传播的速度较快。在进入了用户电脑、并且被激活后，它就搜寻电脑中的正常exe文件，将自己附加到它们的前面，实现感染。并且像套娃一样，释放出另一个病毒文件windows.ext。

严格的说，这个病毒只是一个纯粹的感染工具。它真正的实现下载行为，是依靠由它释放出的Windows.ext这个文件，这个文件才是下载器程序。Windows.ext的真实身份是Win32.Troj.Autorun.978944下载器。它被释放出来后，就在全部的磁盘分区中建立AUTO文件，以提高整个病毒的传播效率。

同时，Windows.ext会在后台悄悄连接远程地址，下载其它病毒文件执行。经毒霸反病毒工程师检查，它所下载的是一些盗号木马，如果顺利进入用户电脑，可能会给用户的虚拟财产造成损失。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/pe-wycao-9032-50784.html

二、“野狗下载器40960”（Win32.Hack.PcClient.40960）  威胁级别：★★

机器狗病毒的新变种已经很久没有在我们的视线中出现。但很多与它类似的木马下载器依旧不断冒头。此篇播报中的就是这样一个病毒。它同样拥有大量的变种。

病毒在进入用户电脑后，会马上获取当前进程，把进程权限提升为管理员权限，获取原始的SSDT服务函数，将SSDT表恢复，从而让一些杀毒软件的主动防御功能失效。同时，它修改系统时间为2000年，让卡巴斯基等依赖系统时间进行升级和激活的杀毒软件失效。

另外它还尝试搜索并关闭杀毒软件金山毒霸、瑞星，以及安全辅助软件360的进程。

当完成以上步骤，病毒便释放出自己的代码，注入系统桌面explorer.exe，悄悄在后台启动IE浏览器的进程，连接http:/ /w**a.xst2.cn这个由病毒作者指定的远程地址，下载一份病毒列表，再根据列表中的地址下载数量惊人的网游、网银盗号木马。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-pcclient-40960-50785.html

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年7月5的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

北京网络行业协会、江民科技联合发布07月06日病毒播报

江民今日提醒您注意：在今天的病毒中Trojan/FlyStudio.af“苍蝇贼”变种af和Trojan/Delf.ejn“Trojan/Delf”变种ejn值得关注。

病毒名称：Trojan/FlyStudio.af

中 文 名：“苍蝇贼”变种af

病毒长度：133632字节

病毒类型：木马

危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/FlyStudio.af“苍蝇贼”变种af是“苍蝇贼”木马家族的最新成员之一，采用高级语言编写，由其它病毒程序释放出来的，一般被注入到“IEXPLORE.EXE”进程中加载运行，隐藏自我，防止被查杀。“苍蝇贼”变种af运行后，在被感染计算机系统后台秘密监视用户的键盘输入，窃取用户输入的账号及密码等信息，给用户带来一定程度的损失。在后台秘密连接骇客指定的服务器站点，侦听骇客指令，在被感染的计算机上进行恶意操作，骇客可通过“苍蝇贼”变种af远程控制被感染计算机系统，给用户的计算机安全、个人隐私，甚至商业机密造成严重威胁。

病毒名称：Trojan/Delf.ejn

中 文 名：“Trojan/Delf”变种ejn

病毒长度：459264字节

病毒类型：木马

危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Delf.ejn“Trojan/Delf”变种ejn是“Trojan/Delf”木马家族的最新成员之一，采用Delphi语言编写。“Trojan/Delf”变种ejn运行后，自我复制到被感染计算机系统“%SystemRoot%\”目录下，重命名为“Exprer.exe”。自我复制到“%SystemRoot%\system32\”目录下，重命名为“Exporer.exe”。在所有移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件，可能将木马主程序重命名为“个人小日记.exe”、“你说这是我的错吗.exe”等，利用U盘等移动存储设备进行传播。强行篡改用户的浏览器设置，将默认首页修改为指定站点，影响用户的正常使用。另外，“Trojan/Delf”变种ejn可能会查找并强行关闭被感染计算机上某些安全软件，大大降低了被感染计算机上的安全性。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。

5、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

6、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

瑞星7月6日反病毒及木马播报

据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“VB蠕虫变种QM(Worm.Win32.VB.qm)”病毒。该病毒会把自己隐藏到磁盘的“回收站（recycled）”中，借以逃避杀毒软件的追杀。同时，该病毒使用了进程守护技术，很难被彻底清除。

本日热门病毒：

“VB蠕虫变种QM (Worm.Win32.VB. qm)”病毒：警惕程度★★★，蠕虫病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

该病毒运行后，把自己命名为SVCHOST.EXE，复制到 C:\RECYCLED\目录，借以隐藏自身。病毒使用多个进程相互守护.并不断的回写注册表的多个键值，达到隐藏自己的目的，很难彻底清除，给用户带来较大安全风险。

反病毒专家建议电脑用户采取以下措施预防该病毒：1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次；2、使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞；3、不浏览不良网站，不随意下载安装可疑插件；4、不接收QQ、MSN、Email等传来的可疑文件；5、上网时打开杀毒软件实时监控功能；6、把网银、网游、QQ等重要软件加入到“瑞星账保险柜”中，可以有效保护密码安全；7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡5.2，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

如遇病毒，请拨打反病毒急救电话：82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。