江民今日提醒您注意:在今天的病毒中TrojanSpy.Pophot.ajj“焦点间谍”变种ajj和Trojan/Multis.d“魔笛斯”变种d值得关注。
病毒名称:TrojanSpy.Pophot.ajj
中 文 名:“焦点间谍”变种ajj
病毒长度:29696字节
病毒类型:间谍类木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.ajj“焦点间谍”变种ajj是“焦点间谍”木马家族的最新成员之一,采用Delphi编写。“焦点间谍”变种ajj是由某木马程序释放出来的DLL木马组件,一般被注入到“EXPLORER.EXE”进程中加载运行,以此隐藏病毒程序,躲避安全软件的查杀。“焦点间谍”变种ajj运行后,强行篡改被感染计算机上的系统时间,致使某些安全软件失效。在后台秘密监视被感染计算机上的窗口标题,一旦发现与安全相关的窗口弹出便立刻强行将其关闭,大大地降低了被感染计算机的安全性。在后台连接骇客指定的服务器站点,下载恶意程序并在被感染计算机上自动调用运行,给用户带来一定程度的危害。另外,“焦点间谍”变种ajj还可能会在各个盘符根目录下创建“autorun.inf”文件和木马程序文件,以实现双击盘符运行病毒的目的。
病毒名称:Trojan/Multis.d
中 文 名:“魔笛斯”变种d
病毒长度:8832字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Multis.d“魔笛斯”变种d是“魔笛斯”木马家族的最新成员之一,采用高级语言编写。“魔笛斯”变种d是由某木马程序释放出来的驱动文件,采用高级ROOTKIT技术编写而成,一般被注册为设备驱动,以实现木马程序开机自动运行。“魔笛斯”变种d运行后,恢复系统SSDT,致使某些安全软件的主动防御功能失效。通过HOOK SSDT以及HOOK IRP来隐藏病毒进程、病毒文件和病毒在注册表中的启动项,防止自身以及木马主程序被安全软件所查杀。其中,一些关键性的数据信息在木马驱动程序文件体内是加密存放的,一旦用户计算机系统感染该病毒,则很难清除干净。