两木马病毒新变种 窃用户私密

　　江民今日提醒您注意：在今天的病毒中TrojanSpy.Banker.ojq“网银窃贼”变种ojq和TrojanDownloader.Zanoza.b“紫诺萨”变种b值得关注。

　　病毒名称：TrojanSpy.Banker.ojq

　　中 文 名：“网银窃贼”变种ojq

　　病毒长度：60416字节

　　病毒类型：间谍类木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanSpy.Banker.ojq“网银窃贼”变种ojq是“网银窃贼”木马家族的最新成员之一，采用VC++ 6.0编写。“网银窃贼”变种ojq运行后，在被感染计算机系统的%SystemRoot%system32目录下释放恶意DLL功能组件文件（文件名随机生成）和配置文件“suns.dat”。强行篡改注册表中相关键值，实现启用第三方浏览器扩展组件的操作。将释放出来的恶意DLL功能组件文件注册为BHO，实现恶意DLL组件随IE浏览器启动而加载运行。“网银窃贼”变种ojq木马安装完毕后，在被感染计算机系统的后台调用DOS控制台程序，执行相应的DOS命令，达到自我删除的目的。在感染计算机的后台监控用户在IE浏览器中所执行的一切操作，窃取用户使用IE浏览器登陆所有网站时使用的帐号、密码和网站地址等信息，并将窃取到的这些信息资料定时发送到骇客指定的远程服务器站点中或邮箱里，给用户带来极大的损失。

　　病毒名称：TrojanDownloader.Zanoza.b

　　中 文 名：“紫诺萨”变种b

　　病毒长度：1845字节

　　病毒类型：木马下载器

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanDownloader.Zanoza.b“紫诺萨”变种b是“紫诺萨”木马家族的最新成员之一，采用汇编语言编写，并经过加壳保护处理。“紫诺萨”变种b运行后，在被感染计算机系统中利用浏览器打开“http://www.po*****d.ru/”恶意广告网站。在被感染计算机的后台调用系统“SVCHOST.EXE”进程，并向其进程内存空间中写入恶意可执行代码，连接骇客指定远程服务器站点，下载恶意程序并自动调用运行。修改注册表，实现“紫诺萨”变种b开机自动运行。另外，“紫诺萨”变种b会在木马当前的运行路径下创建一个批处理文件，该文件用于删除下载到被感染计算机系统中的所有恶意程序的安装包，然后再执行自我删除的操作。

　　针对以上病毒，江民反病毒中心建议广大电脑用户：

　　1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

　　3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。

　　4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

　　5、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

　　6、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。

　　7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.

　　有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。