小心防范：千足虫变种强攻杀毒软件

    江民反病毒专家介绍，与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。病毒运行后，首先在被感染计算机的后台实时监视当前系统所运行的程序，一旦发现某些与安全相关软件的程序（包括国内外所有知名杀毒、安全软件和反病毒工具软件）正在运行，则强行将其关闭并退出，同时所有相关安全软件的升级程序和安装程序也都无法启动运行。

    病毒在被感染计算机系统后台监视system32\Com目录下的恶意程序“LSASS.EXE”，如果该进程被终止，则立即重新调用运行。在所有用户级权限的进程中循环加载运行恶意程序“LSASS.EXE”，直到被感染计算机系统出现蓝屏、死机现象为止。强行删除注册表相关项，破坏安全模式关联，致使用户无法进入安全模式。利用进程映像劫持技术，强行添加注册表相关键，达到终止部分杀毒软件启动运行的目的。

    反病毒专家介绍，该病毒原型也被称为“如雪”或“磁碟机”，系统一旦中毒后，病毒会感染所有可执行文件，普通用户很难手工清除。针对该病毒，江民杀毒软件KV2008已及时升级病毒库，并针对该病毒的特征对杀毒引擎采取了特殊保护机制，确保KV2008不会被“千足虫”关闭。专家提醒KV用户及时升级病毒库，防杀“千足虫”病毒于系统之外。