07月19日病毒播报：“伪程序”变种chl和“系统杀手”变种bre值得关注

英文名称：Trojan/Antavmu.chl
中文名称：“伪程序”变种chl
病毒长度：16384字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：83e100b00a802a133b23cb8403e6033b
特征描述：
    Trojan/Antavmu.chl“伪程序”变种chl是“伪程序”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“伪程序”变种chl运行后，会执行命令“cacls.exe %SystemRoot%\system32\cmd.exe /e /t /g everyone:F”来赋予所有用户对cmd.exe的控制权限。将“%programfiles%\360safe\safemon\safemon.dll”重命名为“safemes.dll”，将“%programfiles%\Rising\AntiSpyware\ieprot.dll”重命名为“iepret.dll”。删除“%SystemRoot%\system32\”文件夹下的旧版本病毒文件“ttjj33.ini”、“SoundMan.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe”，还会强行关闭服务“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“Norton AntiVirus Server”。创建进程快照，如果发现名为“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”的进程，“伪程序”变种chl则会试图强行结束该进程。其会在被感染系统的“%SystemRoot%\”文件夹下释放恶意程序“BarClientServer.exe”，在“%SystemRoot%\system32\”文件夹下释放“inertno.exe”。在“%SystemRoot%\system32\”文件夹下释放配置文件“ttjj34.ini”。在被感染系统中新建名为“new1”、密码为“12369”的用户，为骇客留下后门，致使被感染系统可被不法分子远程登录、控制，进而沦为攻击跳板或肉鸡。“伪程序”变种chl运行完毕后，会创建批处理文件并在后台调用执行，以此达到消除痕迹的目的。另外，其会修改系统服务“helpsvc”，以此实现自动运行。

英文名称：Trojan/AntiAV.bre
中文名称：“系统杀手”变种bre
病毒长度：272384字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：98bd9cc82e605c9659e9d365e9d356d7
特征描述：
    Trojan/AntiAV.bre“系统杀手”变种bre是“系统杀手”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“系统杀手”变种bre运行后，会自我复制到被感染系统的“%programfiles%\Windows NT\”文件夹下，重新命名为“SERVICES.EXE”。其会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“ACE.dll”。遍历当前系统运行的所有进程，一旦发现某些安全软件的进程存在，便会尝试将其结束，致使被感染系统失去安全软件的防护。“系统杀手”变种bre运行时，会将释放的恶意DLL组件“ACE.dll”插入到系统桌面程序“explorer.exe”等进程中隐秘运行。后台执行相应的恶意操作，以此隐藏自我，防止被轻易地查杀。其会在被感染系统的后台秘密监视用户的键盘和鼠标操作，伺机窃取用户输入的机密信息，并在后台将窃得的信息发送到骇客指定的站点或邮箱中（地址加密存放），给被感染系统用户造成了不同程度的损失。“系统杀手”变种bre在运行完成后会创建批处理文件“$$c1.tmp.bat”并在后台调用执行，以此将自身删除。另外，“系统杀手”变种bre会修改注册表启动项中的登陆初始化内容，以此实现自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件KV2011的扫描加速技术令查杀更快捷。虚拟机脱壳以及动静态启发扫描更可强力狙击各种已知、未知病毒。
    2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网病毒查杀。 
    3、开启江民杀毒软件的主动防御功能。江民杀毒软件KV2011采用先进的“智能主动防御2.0”系统，对病毒的拦截更精准，避免干扰正常软件的运行。
    4、开启江民杀毒软件的网页防马墙功能。网页木马特征库动态更新，最新网马迅速拦截。同时结合恶意、钓鱼网址库，为您的网上冲浪建立起双重防护。 
    5、开启江民杀毒软件的“移动存储监视”功能（仅KV2011具备）。江民杀毒软件KV2011可阻止病毒通过移动存储设备进行传播，让数据存储更安全。
    6、开启定时漏洞检测功能，定期修复系统关键漏洞和常用第三方软件漏洞，不给病毒以可乘之机。
    7、开启江民黑客防火墙。江民杀毒软件KV2011内置全新的三层立体黑客防火墙，可对不同层面的网络攻击进行防御，保卫系统安全更全面。 
    8、对于在Windows下无法清除的顽固文件，可使用BootScan功能在系统登陆前进行病毒查杀。
    9、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏，全天候为您的信息安全护航。
   10、江民杀毒软件最新版下载地址http //filedown.jiangmin.com/KV2011/inst.exe（30天免费试用，KV2010用户无需卸载可直接覆盖安装）。或者可以使用江民免费在线查毒系统进行病毒检测：http //online.jiangmin.com/