各大反病毒企业今日预警信息（根据汉语拼音排序）

北京网络行业协会、江民科技联合发布06月14日病毒播报 

   江民今日提醒您注意：在今天的病毒中Rootkit.Qandr.c“圈蛀”变种c和Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk值得关注。

病毒名称：Rootkit.Qandr.c
中 文 名：“圈蛀”变种c
病毒长度：172032字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Qandr.c“圈蛀”变种c是“圈蛀”木马家族的最新成员之一，采用汇编语言编写，并经过加壳保护处理。“圈蛀”变种c运行后，在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放一个恶意的驱动程序文件“qandr.sys”。将“qandr.sys”注册为系统服务，实现木马开机自动运行。利用Rootkit技术，采用“SSDT HOOK”技术挂接了系统中的“NtEnumerateKey”和“NtOpenKey”API函数，采用“FSD inline HOOK”技术挂接了系统文件过滤驱动中的“IRP_MJ_DIRECTORY_CONTROL”请求，隐藏自我，防止被查杀。“圈蛀”变种c可能是一个驱动级的后门程序，会给被感染计算机用户带来潜在的危险，同时会带去不同程度的损失。另外，“圈蛀”变种c会在系统临时文件夹下创建一个批处理程序文件，当恶意驱动程序文件“qandr.sys”安装完毕后调用这个批处理程序实现自我删除。

病毒名称：Trojan/PSW.LMir.gwk
中 文 名：“传奇窃贼”变种gwk
病毒长度：83249字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk是“传奇窃贼”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“传奇窃贼”变种gwk运行后，自我插入到被感染计算机中的某些系统进程内加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取《传奇世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《传奇世界》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“传奇窃贼”变种gwk会强行删除系统中的HOSTS文件，防止用户把该木马的收信地址加入到具有“域名映像劫持”功能的HOSTS文件中，以便正常接收到盗取的玩家帐号等信息。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。
    5、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页，如检测发现恶意网页，用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
    6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
    7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

金山毒霸06.14病毒预警：“木马零件”关闭安全软件、盗取信息
　　“键盘记录员变种112124”（Win32.PSWTroj.OnlineGames.ah.112124），这个病毒是一个盗号木马。它利用键盘记录的方法，记录下用户输入的全部信息。由于是记录全部的信息，因此它对用户的商业机密和个人隐私也有威胁。
　　“木马零件155648”（Win32.Troj.KillAv.ae.155648），这个病毒属于一个盗号木马家族。它会关闭一些安全软件的进程，然后盗号。这批木马分工明确，会针对不同的游戏采用不同的盗号方式。

　　一、“键盘记录员变种112124”（Win32.PSWTroj.OnlineGames.ah.112124）
　　　　威胁级别：★

　　此病毒的变种近来依旧频繁出现。
　　它进入电脑后，在系统盘中释放出三个病毒文件，分别为%WINDOWS%\system32\目录下的mmvo.exe和mmvo0.dll，以及系统临时目录%Temp%下的一个随机命名.dll文件。其中mmvo.exe是病毒主文件，它的数据会被写入注册表启动项，帮助病毒实现开机自启动。这些文件的属性为系统隐藏加只读，病毒会修改注册表，让用户无法查看这些属性的文件。这样，用户就难以发现病毒了。
　　当病毒启动，它会把dll文件注入到系统桌面进程Explorer.exe 和所有的非系统进程当中，实现隐蔽运行。同时，它建立监视，记录用户的鼠标、键盘操作，成功获取信息之后，病毒便将信息加密后以邮件的形式通过SMTP和网页收信空间发送给木马作者。
　　接下来，病毒作者只需通过一定技术手段，就可以从这些信息中筛选出用户的游戏帐号和密码。而由于是记录全部的信息，因此该病毒对用户的商业机密和个人隐私也有一定的威胁。
　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-onlinegames-ah-112124-50664.html

　　二、“木马零件155648”（Win32.Troj.KillAv.ae.155648）
　　　　威胁级别：★★

　　这个病毒是一个盗号木马家族的成员，如果在系统中发现了它，则有可能也混进了其它病毒。
　　该毒进入系统后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件msosping00.dll，然后将该文件注入系统的全部进程中，开始破坏行为。
　　它首先会检查注入的进程是否是安全软件，它的黑名单中包括有金山毒霸、金山密保、360安全卫士等三款安全软件，如果发现，就尝试关闭它们。
　　接着，病毒检测已注入的进程中是否有指定的网游进程，如有，则读取游戏进程中指定的内存信息，保存在自己的病毒文件config.ini中，然后将其发送到病毒作者指定的地址。这样，病毒作者就窃取到游戏用户的帐号信息。
　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-killav-ae-155648-50665.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年6月14的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。