中新網(wǎng)5月7日電 在今天的病毒中Trojan/AntiAV.a“系統(tǒng)殺手”變種a和TrojanSpy.Iespy.bw“IE大盜”變種bw值得關注。

　　病毒名稱：Trojan/AntiAV.a

　　中 文 名：“系統(tǒng)殺手”變種a

　　病毒長度：94208字節(jié)

　　病毒類型：木馬

　　危險級別：★★

　　影響平臺：Win 9X/ME/NT/2000/XP/2003

　　Trojan/AntiAV.a“系統(tǒng)殺手”變種a是“系統(tǒng)殺手”木馬家族的最新成員之一，是一個被其它惡意程序注入到系統(tǒng)“svchost.exe”進程內(nèi)存空間中的木馬程序，采用VC++ 6.0編寫，并經(jīng)過加殼處理。“系統(tǒng)殺手”變種a運行后，自動檢測自身進程是否被其它調(diào)試軟件所調(diào)試分析，一旦發(fā)現(xiàn)便自動關閉退出。創(chuàng)建“tls”事件，創(chuàng)建“\.\AttObject1”設備。強行將系統(tǒng)時間設置為2001年，導致某些安全軟件殺毒和保護功能失效。在被感染計算機系統(tǒng)的“%SystemRoot%\system32\”目錄下創(chuàng)建病毒配置文件。在臨時文件夾下釋放3個惡意驅(qū)動文件，文件名隨機生成，并將文件屬性設置為隱藏。第1個驅(qū)動文件可還原系統(tǒng)“SSDT HOOK”，致使某些安全軟件的防御和監(jiān)控功能失效，從而達到躲避監(jiān)控的目的；第2個和第3個驅(qū)動文件均可覆蓋破壞系統(tǒng)桌面程序“explorer.exe”，把惡意可執(zhí)行代碼寫入到系統(tǒng)桌面程序中，具有繞過“還原保護系統(tǒng)”，覆蓋破壞被感染計算機真實磁盤中系統(tǒng)文件的功能，使用戶防不勝防。遍歷當前計算機系統(tǒng)中的進程列表，一旦發(fā)現(xiàn)與安全相關的進程，強行將其關閉。在被感染計算機系統(tǒng)的“%SystemRoot%\system32\”目錄下創(chuàng)建批處理文件并調(diào)用運行，利用該批處理程序去關閉“系統(tǒng)防火墻”。修改注冊表，利用進程映像劫持功能禁止指定的安全軟件運行。在被感染計算機系統(tǒng)的后臺連接駭客指定站點，下載更多的惡意程序并在被感染計算機上自動調(diào)用運行，給用戶帶來極大的損失。另外，“系統(tǒng)殺手”變種a不僅具有自升級的功能，而且具有自動網(wǎng)頁掛馬的功能。

　　病毒名稱：TrojanSpy.Iespy.bw

　　中 文 名：“IE大盜”變種bw

　　病毒長度：61074字節(jié)

　　病毒類型：木馬

　　危險級別：★★

　　影響平臺：Win 9X/ME/NT/2000/XP/2003

　　TrojanSpy.Iespy.bw“IE大盜”變種bw是“IE大盜”木馬家族的最新成員之一，采用高級語言編寫，并經(jīng)過加殼保護處理，一般以DLL組件文件的形式存在，利用“BHO”劫持技術在被感染計算機系統(tǒng)中隨IE瀏覽器的啟動而加載運行。“IE大盜”變種bw運行后，在被感染計算機系統(tǒng)的后臺利用HOOK和鍵盤記錄等技術盜取用戶在IE瀏覽器中輸入的幾乎所有機密信息資料(其中包括：用戶名、密碼、瀏覽的網(wǎng)址等)，并在被感染計算機后臺將竊取到的用戶信息發(fā)送到駭客指定的遠程服務器站點上，給用戶帶來不同程度的損失。

　　針對以上病毒，江民反病毒中心建議廣大電腦用戶：

　　立即升級江民殺毒軟件等防病毒程序并進行全面殺毒，開啟各項監(jiān)控，對于網(wǎng)上銀行、支付平臺、網(wǎng)上證券交易、網(wǎng)絡游戲等賬號密碼等，要妥善保管，盡量不在有可能存在安全隱患的電腦上使用。