12月15日病毒木马预警

警戒干扰者139776”（Win32.Troj.Agent.139776），这是一个会修改IE浏览器安全设置的木马。它进入系统后  
，会在后台启动IE浏览器进程，并修改IE浏览器的安全设置，使其它病毒及恶意程序能够轻松地进入用户系统，进行破坏活动。

“刷屏下载器65536”（Win32.TrojDownloader.Small.65536），这是一个下载器，该病毒源文件会伪装成MSN的外观，容易迷惑用户，当用户运行该病毒后，病毒源文件会自删除，使用户无法再找回病毒源。病毒运行后会自行下载病毒文件到系统目录下，自添加病毒启动项，随系统的启动而触发。当用户运行文件时，会出现无法打开的状况，有感染的症状。

一、“警戒干扰者139776”（Win32.Troj.Agent.139776）  威胁级别：★★

病毒顺利进入用户的电脑系统后，将三个病毒文件释放到系统盘的%windows%\system32\目录下，分别为CesMain.exe、CesMain.dll，以及CesMain2.dll。

三个病毒文件均有分工，其中的CesMain.exe是病毒主程序，它的任务是在用户无法察觉的情况下，于后台服务中悄悄启动IE浏览器进程，而两个DLL文件，其中一个负责修改注册表启动项，将病毒主程序的相关信息写入其中，使病毒以后可以在用户每次启动电脑时跟着自动运行起来，另一个则负责注入IE进程，进行破坏活动。

当主程序将IE启动之后，负责破坏活动的DLL文件就会注入IE进程中，修改IE的安全配置数据，将其安全等级降低。这样一来，当用户上网时，其它病毒和恶意程序就很容易进入用户电脑，给系统造成无法估计的破坏。

二、“刷屏下载器65536”（Win32.TrojDownloader.Small.65536）  威胁级别：★★

病毒进入电脑系统后，在系统盘的%windows%\system32\目录下释放出病毒主程序msnmsgr.exe，以及在%windows%\Downloaded Program Files\目录下释放出病毒文件msgr.dll。由于其名称与外观都与微软MSN通讯软件接近，用户就不易发现它。

然后，病毒修改注册表，添加自己的主程序信息到启动项。这样，当用户在重启机器时，它就会随着系统的启动而触发。当病毒运行起来后，它会破坏系统中已安装的安全软件的相关数据，以及篡改大量的系统参数，如果用户试图查看启动项和使用安全软件时，系统就会突然死机，然后自动刷屏一次。而当病毒的犯罪最为猖獗之时，不仅仅是安全软件，所有的可执行文件、网页文件都会遇到以上麻烦，令用户无法正常工作。

该病毒的行为不仅仅是影响用户使用电脑，如果用户注意查看系统盘临时文件夹的目录，就会发现已有部分病毒文件被下载到其中，名称如gtapi.dll、tt.exe、qq.exe等。原来，病毒之前的破坏行为，都是为它能下载其它病毒到用户系统中所做的铺垫。当这些病毒文件发作之后，用户将遭受无法估计的更大损失。

反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。



在今天的病毒中Trojan/PSW.Almat.djm“阿麦特”变种djm和Trojan/PSW.LMir.gvx“传奇窃贼”变种gvx值得关注。

病毒名称：Trojan/PSW.Almat.djm

中 文 名：“阿麦特”变种djm

病毒长度：10896字节

病毒类型：木马

危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Almat.djm“阿麦特”变种djm是“阿麦特”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳处理。“阿麦特”变种djm运行后，自我复制到被感染计算机系统的指定目录下。自我注册为系统服务，实现木马开机自动运行。在被感染计算机系统的后台秘密运行，穿过YX6网关，在后台监视玩家登陆网络游戏“传奇”后的操作，导致网络游戏中的禁言功能失效，骇客可利用被感染计算机上的“传奇”游戏发送恶意广告，干扰玩家玩游戏，给玩家带来不同程度的损失。另外，“阿麦特”变种djm会在被感染计算机系统的后台连接骇客指定站点，侦听骇客指令并在被感染计算机上执行恶意操作。

病毒名称：Trojan/PSW.LMir.gvx

中 文 名：“传奇窃贼”变种gvx

病毒长度：19968字节

病毒类型：木马

危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.LMir.gvx“传奇窃贼”变种gvx是“传奇窃贼”木马家族的最新成员之一，采用Delphi语言编写。“传奇窃贼”变种gvx运行后，在后台秘密监视用户打开的窗口标题，盗取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。修改注册表，实现木马开机自动运行。另外，“传奇窃贼”变种gvx还具有躲避某些安全软件和防火墙监控的功能，降低被感染计算机上的安全性。


据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“下载者蠕虫变种N（Worm.Win32.DownLoader.n）”病毒。该病毒通过U盘传播，可以从黑客指定的网站上下载新的病毒，并且试图卸载多种杀毒软件。

本日热门病毒：

“下载者蠕虫变种N（Worm.Win32.DownLoader.n）”病毒：警惕程度★★★，通过U盘传播，蠕虫病毒，依赖系统：WINNT/2000/XP/2003。

这是一个蠕虫病毒。病毒运行后会在系统目录中建立文件名为：svchost.exe的病毒文件。病毒试图关闭多种杀毒软件，甚至可以修改注册表使系统自动卸载杀毒软件。病毒还可以从黑客指定的网站上下载新的病毒，它向所有磁盘根目录下复制自身，并以此传播。

反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；

好的，记下了！