各大反病毒企业今日预警信息（根据汉语拼音排序）

北京网络行业协会、江民科技联合发布06月10日病毒播报  

   江民今日提醒您注意：在今天的病毒中Win32/Expiro.a“IE劫匪”变种a和Trojan/PSW.YahooPass.g“雅虎窃贼”变种g值得关注。

病毒名称：Win32/Expiro.a
中 文 名：“IE劫匪”变种a
病毒长度：175616字节
病毒类型：感染型病毒
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Win32/Expiro.a“IE劫匪”变种a是“IE劫匪”感染型病毒家族的最新成员之一，采用高级语言编写。“IE劫匪”变种a运行后，在被感染计算机系统的临时文件夹下释放3个病毒文件并加载运行。修改hosts文件，阻止用户对某些安全站点的访问。遍历被感染计算机的磁盘，感染除某些指定程序以外的绝大部分*.exe文件。一旦用户运行了被感染的*.exe文件，“IE劫匪”变种a与真实文件一起运行，使用户无法察觉到病毒的存在。由于感染的文件众多，用户计算机一旦感染了该病毒，很有可能无法清除干净。在被感染计算机系统的后台连接骇客指定站点，下载恶意程序。其中，所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等，给被感染计算机用户带来不同程度的损失。另外，“IE劫匪”变种a还可能会感染某些指定目录下的*.asp文件和*.htm文件，利用这些文件进行网页挂马。

病毒名称：Trojan/PSW.YahooPass.g
中 文 名：“雅虎窃贼”变种g
病毒长度：48608字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.YahooPass.g“雅虎窃贼”变种g是“雅虎窃贼”木马家族的最新成员之一，采用VB 6.0编写，并且经过加壳保护处理。“雅虎窃贼”变种g运行后，会自我复制到“%SystemRoot%\system32\”目录下，重新命名为“syschost.exe”。修改注册表，实现木马开机自动运行。自我复制到“%SystemRoot%\”目录下，重新命名为“sysinfo.exe”，并将文件属性设置为：系统、隐藏、存档。在被感染计算机系统的后台利用HOOK等技术盗取即时通讯工具“雅虎通”和“雅虎网站”用户的登陆帐号、登陆密码等资料，并在被感染计算机后台将窃取到的这些信息发送到骇客指定的远程服务器站点上，给用户带来损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    5、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页，如检测发现恶意网页，用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
    6、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

金山毒霸06.10病毒预警：“MS06-057漏洞下载器”导致浏览器崩溃
　　“MS06-057漏洞下载器1693”（Js.Agent.bm.1693），这是一个Microsoft IE WebViewFolderIcon远程整数溢出漏洞(MS06-057)利用脚本。远程攻击者便可以利用此漏洞导致浏览器崩溃，或执行任意指令。

　　“感染型下载器4096”（Win32.Gdata.b.4096），这是个具有感染能力的下载器程序。它会巧妙地插入病毒指令到正常的EXE文件中，而被感染的文件大小不变。当运行起来后就注入代码到系统桌面进程中执行，远程下载其它病毒文件到用户电脑上。

　　一、“MS06-057漏洞下载器1693”（Js.Agent.bm.1693）
　　　　威胁级别：★★

　　利用漏洞进行传播的病毒近来程增长趋势，毒霸反病毒工程师加强了对漏洞型病毒的观察和处理。本篇预警播报中的病毒就是一个漏洞病毒的变种。

　　一旦该毒进入系统，就立即注入系统桌面进程运行。它会检查用户的IE浏览器是否安装得有MS06-057补丁,如果没有这个补丁，就说明漏洞存在。

　　如果是这样，病毒便会在用户使用IE浏览器上网时，在后台悄悄从从http://cher****enie.net/news/这个由病毒作者指定的地址下载木马程序至用户电脑上，命名为u.Exe，存放于C盘根目录下。

　　由于病毒作者指定了存放地址为C盘，如果用户系统中没有C盘，则下载动作就无法实现。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅

　　二、“感染型下载器4096”（Win32.Gdata.b.4096）
　　　　威胁级别：★

　　这个下载器程序利用感染正常的EXE文件来传播自己。它插入自己的指令到EXE文件空闲的空间中，这样，被感染文件大小不发生变化，不易被用户发现异常。

　　当用户点击被感染的文件时，病毒指令会被优先执行，它遍历当前进程，找到系统桌面进程explorer.exe ，注入其中，实现秘密运行。

　　如果注入成功，病毒就悄悄连接病毒作者指定的地址http://61.1**.5*.71/，下载名为Temp.exe的病毒文件，保存到系统盘的%WINDOWS%\目录中执行。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-gdata-b-4096-50657.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年6月10的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

瑞星公司06月10日发布 每日计算机病毒及木马播报

    据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“西游木马变种AFF（Trojan.PSW.Win32.XYOnline.aff）”病毒。该病毒通过网络传播，窃取“大话西游”网络游戏的帐号和密码。

本日热门病毒：

病毒名称：“西游木马变种AFF（Trojan.PSW.Win32.XYOnline.aff）”
警惕程度：★★★
病毒类型：木马病毒
传播方式：通过网络传播
依赖系统：Windows NT/2000/XP/2003

    这是一个典型的盗号木马，病毒在运行后，从自身释放出一个dll文件到系统的System32目录中，并加载这个DLL文件。根据加载这个DLL文件的进程不同，病毒可以结束相关的系统正常进程，同时监测用户的帐号和密码，并发送到黑客指定的网址。

    反病毒专家建议电脑用户采取以下措施预防该病毒：
1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次；
2、使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞；
3、不浏览不良网站，不随意下载安装可疑插件；
4、不接收QQ、MSN、Email等传来的可疑文件；
5、上网时打开杀毒软件实时监控功能；
6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全；
7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡5.2，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

    如遇病毒，请拨打反病毒急救电话：82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。