2006年11月22日，江民公司反病毒公司监测到，天涯虚拟社区网站（http://www.tianya.cn）首页带毒。如果用户没有安装过微软的MS06-014安全补丁，在使用IE浏览器访问该网页时，就会感染木马程序Trojan/Hitpop。该木马会在后台点击某些网页，制造虚假流量，并会关闭多款杀毒软件和防火墙。

   23日，天涯首页上的恶意代码已经被删除。江民公司提醒广大网民，特别是天涯社区用户，请立即更新杀毒软件的病毒库，对您的系统进行全面扫描。

  具体技术分析报告如下：

1、天涯社区首页（http://www.tianya.cn/default.asp）中被嵌入了一条恶意代码，引用位于http://www.jlinside.com上面的恶意脚本（http://www.jlinside.com/MediaPlayer.js）。后者以隐藏方式打开恶意网页http://www.**78.cn/inc/ad.html。ad.html利用微软的MS06-014漏洞，尝试下载并执行木马程序http://www.**78.cn/inc/op.exe。

2、op.exe运行后，将创建下列文件：
%SystemDir%\alxres061120.exe, 110377字节
%SystemDir%\scrsys061120.scr, 110377字节
%SystemDir%\scrsys16_061120.scr, 24576字节
%SystemDir%\winsys16_061120.dll, 24576字节
%SystemDir%\winsys32_061120.dll, 175104字节
D:\myplay.pif
%WinDir%\winsys.ini, 340字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = %SystemDir%\userinit.exe,rundll32.exe c:\windows\system32\winsys16_061120.dll start
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
"AutoRun" = ,d:\myplay.pif
这样，在Windows启动时，病毒就可以自动执行。

3、木马尝试结束多款流行杀毒软件和防火墙，并在后台隐藏启动IE进程，访问http://www.dosboy.com和http://www.selang.com等网站上的页面。

   针对上述病毒，KV用户请升级到11月23日病毒库，即可全面查杀。江民公司再次提醒广大用户，上网浏览时一定要开启杀毒软件的实时监控功能，并要及时升级病毒库、安装微软的安全更新，以免受到病毒侵害。