07月10日病毒播报：“伪程序”变种col和“逃犯”变种bv值得关注

江民今日提醒您注意：在今天的病毒中Trojan/Antavmu.col“伪程序”变种col和Backdoor/Trup.bv“逃犯”变种bv值得关注。

英文名称：Trojan/Antavmu.col
中文名称：“伪程序”变种col
病毒长度：17136字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：1c0e79ef07e09bb7955be81f406e86fb
特征描述：
    Trojan/Antavmu.col“伪程序”变种col是“伪程序”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“伪程序”变种col运行后，会执行命令“cacls.exe %SystemRoot%\system32\cmd.exe /e /t /g everyone:F”来赋予所有用户对cmd.exe的控制权限。其会将被感染系统“%programfiles%\360safe\safemon\”文件夹下的DLL组件“safemon.dll”重命名为“safemes.dll”，将“%programfiles%\Rising\AntiSpyware\”文件夹下的DLL组件“ieprot.dll”重命名为“iepret.dll”。删除“%SystemRoot%\system32\”文件夹下的旧版本病毒文件“ttjj33.ini”、“SoundMan.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe”。强行关闭服务“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“Norton AntiVirus Server”。创建进程快照，如果发现名为“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”的进程，“伪程序”变种col则会试图强行结束该进程。在被感染系统的“%SystemRoot%\”文件夹下释放恶意程序“BarClientServer.exe”，在“%SystemRoot%\system32\”文件夹下释放“inertno.exe”（以上文件属性设置为“系统、隐藏”）。在“%SystemRoot%\system32\”文件夹下释放配置文件“ttjj34.ini”，在被感染系统中新建名为“new1”、密码为“12369”的用户，为骇客留下后门，致使被感染系统可被不法分子远程登录、控制，进而沦为攻击跳板或肉鸡。“伪程序”变种col运行完成后会创建批处理文件并在后台调用执行，以此将自身删除，从而达到消除痕迹的目的。另外，其会修改系统服务“helpsvc”，以此实现相关恶意程序自动运行。

英文名称：Backdoor/Trup.bv
中文名称：“逃犯”变种bv
病毒长度：155648字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：a43fc3ef0de059f918b9e67814e0d05b
特征描述：
    Backdoor/Trup.bv“逃犯”变种bv是“逃犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“逃犯”变种bv运行后，会自我复制到被感染系统的“%SystemRoot%\Temp\”文件夹下，重新命名为“player.exe”。删除桌面上的IE浏览器快捷方式，然后创建一个假冒的浏览器快捷方式。通过该快捷方式启动的浏览器会自动访问骇客指定的站点，从而为这些网站增加了访问量。“逃犯”变种bv运行时会定时弹出广告网页或窗口，从而对用户正常的电脑操作造成了不同程度的干扰。在被感染系统的后台连接骇客指定的站点“tt.dy*29.com”、“cpm.eji*ad.com”、“u484012.77*669.com”、“51.51*an.com”、“hub.ad*you.com”，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“逃犯”变种bv运行时，会在被感染系统中秘密安装“易看高清播放器”、“酷狗”、“世界之窗浏览器”、“快压”等软件，从而侵犯了系统用户选择的权利。另外，其还会在桌面上创建垃圾图标“淘宝网”、“Internet Explorner”、“在线电影”、“在线高清影院”，从而为指定站点增加了访问量。“逃犯”变种bv会在被感染系统注册表启动项中添加键值，以此实现自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件KV2011的扫描加速技术令查杀更快捷。虚拟机脱壳以及动静态启发扫描更可强力狙击各种已知、未知病毒。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网病毒查杀。 
    3、开启江民杀毒软件的主动防御功能。江民杀毒软件KV2011采用先进的“智能主动防御2.0”系统，对病毒的拦截更精准，避免干扰正常软件的运行。
    4、开启江民杀毒软件的网页防马墙功能。网页木马特征库动态更新，最新网马迅速拦截。同时结合恶意、钓鱼网址库，为您的网上冲浪建立起双重防护。 
    5、开启江民杀毒软件的“移动存储监视”功能（仅KV2011具备）。江民杀毒软件KV2011可阻止病毒通过移动存储设备进行传播，让数据存储更安全。
    6、开启定时漏洞检测功能，定期修复系统关键漏洞和常用第三方软件漏洞，不给病毒以可乘之机。
    7、开启江民黑客防火墙。江民杀毒软件KV2011内置全新的三层立体黑客防火墙，可对不同层面的网络攻击进行防御，保卫系统安全更全面。 
    8、对于在Windows下无法清除的顽固文件，可使用BootScan功能在系统登陆前进行病毒查杀。
    9、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏，全天候为您的信息安全护航。
   10、江民杀毒软件最新版下载地址http //filedown.jiangmin.com/KV2011/inst.exe（30天免费试用，KV2010用户无需卸载可直接覆盖安装）。或者可以使用江民免费在线查毒系统进行病毒检测：http //online.jiangmin.com/