江民今日提醒您注意：在今天的病毒中Trojan/Hijack.bi“劫持犯”變種bi和TrojanProxy.Agent.axo“代理木馬”變種axo值得關(guān)注。

　　病毒名稱：Trojan/Hijack.bi

　　中 文 名：“劫持犯”變種bi

　　病毒長度：36368字節(jié)

　　病毒類型：木馬

　　危險(xiǎn)級別：★★

　　影響平臺：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Hijack.bi“劫持犯”變種bi是“劫持犯”木馬家族的最新成員之一，采用VC編寫，并經(jīng)過添加保護(hù)殼處理�！敖俪址浮弊兎Nbi運(yùn)行后，強(qiáng)行將系統(tǒng)時(shí)間設(shè)置為2001年，導(dǎo)致某些安全軟件殺毒和保護(hù)功能失效。在被感染計(jì)算機(jī)的后臺調(diào)用系統(tǒng)“svchost.exe”進(jìn)程，并將惡意代碼注入到其中運(yùn)行，實(shí)現(xiàn)反安全軟件的功能，然后進(jìn)行惡意操作。在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\”目錄下創(chuàng)建病毒配置文件。在臨時(shí)文件夾下釋放惡意驅(qū)動(dòng)文件，文件名隨機(jī)生成，并將文件屬性設(shè)置為隱藏。驅(qū)動(dòng)文件可還原系統(tǒng)“SSDT”，致使某些安全軟件的防御和監(jiān)控功能失效，從而達(dá)到躲避監(jiān)控的目的，驅(qū)動(dòng)文件還可能會覆蓋破壞系統(tǒng)程序“explorer.exe”，把惡意可執(zhí)行代碼寫入到系統(tǒng)程序中，具有繞過“還原保護(hù)系統(tǒng)”，覆蓋破壞被感染計(jì)算機(jī)真實(shí)磁盤中系統(tǒng)文件的功能，使用戶防不勝防。遍歷當(dāng)前計(jì)算機(jī)系統(tǒng)中的進(jìn)程列表，一旦發(fā)現(xiàn)與安全相關(guān)的進(jìn)程，強(qiáng)行將其關(guān)閉。在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\”目錄下創(chuàng)建批處理文件并調(diào)用運(yùn)行，利用該批處理程序去關(guān)閉“系統(tǒng)防火墻”。修改注冊表，利用進(jìn)程映像劫持功能禁止指定的安全軟件運(yùn)行�！敖俪址浮弊兎Nbi會在被感染計(jì)算機(jī)系統(tǒng)的后臺連接駭客指定站點(diǎn)，下載包括“系統(tǒng)殺手”、“ARP殺手”、“代理木馬”、“機(jī)器狗”等大量木馬病毒到用戶計(jì)算機(jī)中安裝運(yùn)行，給用戶帶來極大的損失。“劫持犯”變種bi還會在任務(wù)執(zhí)行完畢后，會馬上關(guān)閉退出。在退出時(shí)，被注入惡意代碼的系統(tǒng)“svchost.exe”進(jìn)程會刪除掉病毒所在磁盤中的文件，使用戶無法尋找到該病毒樣本。

　　病毒名稱：TrojanProxy.Agent.axo

　　中 文 名：“代理木馬”變種axo

　　病毒長度：35531字節(jié)

　　病毒類型：木馬

　　危險(xiǎn)級別：★★

　　影響平臺：Win 9X/ME/NT/2000/XP/2003

　　TrojanProxy.Agent.axo“代理木馬”變種axo是“代理木馬”木馬家族的最新成員之一，采用Delphi編寫，并經(jīng)過添加保護(hù)殼處理。“代理木馬”變種axo運(yùn)行后，自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\”目錄下，重命名為“wfeoe.exe”和“yhiln.exe”，并將這兩個(gè)文件添加為啟動(dòng)項(xiàng)，實(shí)現(xiàn)木馬開機(jī)自動(dòng)運(yùn)行。提升自身權(quán)限，查找并強(qiáng)行關(guān)閉大量流行的安全軟件，大大降低了被感染計(jì)算機(jī)上的安全性。強(qiáng)行調(diào)用某些安全軟件自帶的卸載程序，將被感染計(jì)算機(jī)上的安全軟件卸載。強(qiáng)行篡改注冊表，利用進(jìn)程映像劫持功能禁止數(shù)百種安全軟件及調(diào)試工具運(yùn)行，致使用戶計(jì)算機(jī)系統(tǒng)毫無安全保障。在被感染計(jì)算機(jī)硬盤各盤符根目錄下以及移動(dòng)存儲設(shè)備根目錄下創(chuàng)建“autorun.inf”文件和木馬主程序文件“yhiln.exe”(屬性為“系統(tǒng)、隱藏”)，實(shí)現(xiàn)雙擊盤符啟動(dòng)“代理木馬”變種axo目的，從而利用U盤、移動(dòng)硬盤等移動(dòng)設(shè)備進(jìn)行自我傳播。

　　針對以上病毒，江民反病毒中心建議廣大電腦用戶：

　　1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項(xiàng)監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計(jì)算機(jī)。

　　2、江民KV網(wǎng)絡(luò)版的用戶請及時(shí)升級控制中心，并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒，保證企業(yè)信息安全。

　　3、全面開啟BOOTSCAN功能，在系統(tǒng)啟動(dòng)前殺毒，清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。

　　4、江民殺毒軟件采用窗口保護(hù)以及進(jìn)程保護(hù)技術(shù)，避免病毒關(guān)閉殺毒軟件進(jìn)程，確保殺毒軟件自身安全，更好地保護(hù)用戶計(jì)算機(jī)的安全。

　　5、“網(wǎng)頁安全專家”可以檢測到用戶計(jì)算機(jī)上是否感染了惡意網(wǎng)頁，如檢測發(fā)現(xiàn)惡意網(wǎng)頁，用戶可以按照提示自動(dòng)上報(bào)給國家計(jì)算機(jī)病毒應(yīng)急中心進(jìn)行處理。網(wǎng)頁安全專家下載地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm

　　6、江民殺毒軟件可以在系統(tǒng)崩潰無法進(jìn)入的情況下，一鍵恢復(fù)系統(tǒng)，無論是惡性病毒破壞或電腦用戶誤刪除系統(tǒng)文件，都可輕松還原系統(tǒng)到無毒狀態(tài)或正常狀態(tài)。

　　7、江民殺毒軟件“移動(dòng)存儲接入殺毒”能杜絕病毒利用移動(dòng)設(shè)備(如：U盤、移動(dòng)硬盤等)入侵用戶計(jì)算機(jī)，完全保護(hù)計(jì)算機(jī)系統(tǒng)安全。

　　8、江民殺毒軟件新型主動(dòng)防御集成了BOOTSCAN、木馬一掃光、系統(tǒng)監(jiān)測、網(wǎng)頁監(jiān)控等多種主動(dòng)防御功能，更可對未知病毒進(jìn)行主動(dòng)監(jiān)控，對病毒層層攔截，即使有個(gè)別新病毒和惡性病毒入侵了系統(tǒng)，也無法逃脫江民殺毒軟件主動(dòng)防御系統(tǒng)的層層截殺，更好地保護(hù)用戶上網(wǎng)安全。

　　9、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證。免費(fèi)在線查毒地址：http://online.jiangmin.com/chadu.asp.

　　有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢，或訪問江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。