8月3日，江民科技反病毒中心截获了“友好客户”变种ajxz和“克隆先生”变种jva。

据江民反病毒中心工程师介绍，Backdoor/PcClient.ajxz“友好客户”变种ajxz是“友好客户”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“友好客户”变种ajxz运行后，会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“播放器下载.exe”，并且执行。“播放器下载.exe”运行后，会在“友好客户”变种ajxz所在文件夹下释放恶意脚本文件“1.vbs”、恶意程序“成人播放器下载.exe”、恶意批处理程序“p.bat”和快捷方式“高清电影”。恶意批处理程序“p.bat”运行时，会删除用户桌面和快速启动文件夹下的“Internet Explorer.lnk”、“启动 Internet Explorer 浏览器.lnk”、“Internet Explorer.url”、“启动 Internet Explorer 浏览器.url”。然后会在桌面和快速启动文件夹新建一个“Internet Explorer.url”，当用户运行这个新建的“Internet Explorer.url”以后，其会打开骇客指定的URL“www.laopo123.com/?d”，达到增加其访问量的目的。还会定时弹出广告网页或窗口，会对用户正常的电脑操作造成不同程度的干扰。另外，“友好客户”变种ajxz还会占用大量的系统资源，极大地降低了系统的运行速度。

Packed.Klone.jva“克隆先生”变种jva是“克隆先生”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理，是一个由其它恶意程序释放的DLL功能组件。“克隆先生”变种jva运行后，会在后台遍历当前系统正在运行的所有进程，如果发现进程“AhnRpta.exe”存在，“克隆先生”变种jva便会尝试将其强行关闭。其会复制“%SystemRoot%\”文件夹下的“notepad.exe”并将其重新命名为“AhnRpta.exe”，然后以隐藏的方式执行，并将恶意代码注入到进程“AhnRpta.exe”中，从而更好的隐藏自我，防止被查杀。试图强行删除某些与安全软件相关的注册表键，致使指定的安全软件无法开启监控和自我保护等功能。“克隆先生”变种jva运行时，会在被感染系统的后台连接骇客指定的站点“www.baiduopi.com/1tw/”，获取恶意程序下载列表“at1.txt”和“at2.txt”，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“克隆先生”变种jva属于某恶意程序集合中的部分功能组件，如果感染此病毒，则说明系统中还感染了其它的恶意程序。

因此，江民反病毒中心建议大家，为保护个人财产和信息的安全，要及时升级杀毒软件的病毒库。对于以上病毒，江民科技已经在第一时间升级了病毒库，请广大用户升级查杀。