江民今日提醒您注意：在今天的病毒中Backdoor/Yoddos.ae“调戏鬼”变种ae和Trojan/AntiAV.brm“系统杀手”变种brm值得关注。

英文名称：Backdoor/Yoddos.ae

中文名称：“调戏鬼”变种ae

病毒长度：42496字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：c2daf0ae8f5172056e8cc19ce4c6378b

特征描述：

Backdoor/Yoddos.ae“调戏鬼”变种ae是“调戏鬼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“调戏鬼”变种ae会被伪装成“QQ2010”，从而诱骗用户点击运行。“调戏鬼”变种ae运行后，会设置自身进程的报错模式（SetErrorMode），从而防止自身出错时系统弹出提示信息。尝试获得并卸载名为“kmon.dll”的模块，其为瑞星卡卡的功能模块。获得系统及自身路径，比较是否为“%SystemRoot%\system32\WinHelp32.exe”和“%SystemRoot%\system32\svchost.exe”，若不是以上路径，“调戏鬼”变种ae会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“WinHelp32.exe”。还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动文件“PCIDump.sys”，文件属性设置为“系统、隐藏”。将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与客户端“56*1095.3322.org”进行连接，如果连接成功，被感染的计算机就会沦为傀儡主机。骇客可向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行，甚至屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。其还会在被感染系统的后台连接骇客指定的站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“调戏鬼”变种ae在运行完成后会将自身删除，从而达到消除痕迹的目的。另外，“调戏鬼”变种ae会在被感染系统中注册名为“WinHelp32”的系统服务，以此实现自动运行。

英文名称：Trojan/AntiAV.brm

中文名称：“系统杀手”变种brm

病毒长度：274432字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：b77e5c5a9ba4f15447e61d46145e33a0

特征描述：

Trojan/AntiAV.brm“系统杀手”变种brm是“系统杀手”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“系统杀手”变种brm运行后，会自我复制到被感染系统的“%programfiles%\Windows NT\”文件夹下，重新命名为“SERVICES.EXE”。其会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“ACE.dll”。遍历当前系统运行的所有进程，一旦发现某些安全软件的进程存在，便会尝试将其结束，致使被感染系统失去安全软件的防护。“系统杀手”变种brm运行时，会将释放的恶意DLL组件“ACE.dll”插入到系统桌面程序“explorer.exe”等进程中隐秘运行。后台执行相应的恶意操作，以此隐藏自我，防止被轻易地查杀。其会在被感染系统的后台秘密监视用户的键盘和鼠标操作，伺机窃取用户输入的机密信息，并在后台将窃得的信息发送到骇客指定的站点或邮箱中（地址加密存放），给被感染系统用户造成了不同程度的损失。“系统杀手”变种brm在运行完成后会创建批处理文件“$$c1.tmp.bat”并在后台调用执行，以此将自身删除。另外，“系统杀手”变种brm会修改注册表启动项中的登陆初始化内容，以此实现自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件KV2011的扫描加速技术令查杀更快捷。虚拟机脱壳以及动静态启发扫描更可强力狙击各种已知、未知病毒。

2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网病毒查杀。

3、开启江民杀毒软件的主动防御功能。江民杀毒软件KV2011采用先进的“智能主动防御2.0”系统，对病毒的拦截更精准，避免干扰正常软件的运行。

4、开启江民杀毒软件的网页防马墙功能。网页木马特征库动态更新，最新网马迅速拦截。同时结合恶意、钓鱼网址库，为您的网上冲浪建立起双重防护。

5、开启江民杀毒软件的“移动存储监视”功能（仅KV2011具备）。江民杀毒软件KV2011可阻止病毒通过移动存储设备进行传播，让数据存储更安全。

6、开启定时漏洞检测功能，定期修复系统关键漏洞和常用第三方软件漏洞，不给病毒以可乘之机。

7、开启江民黑客防火墙。江民杀毒软件KV2011内置全新的三层立体黑客防火墙，可对不同层面的网络攻击进行防御，保卫系统安全更全面。

8、对于在Windows下无法清除的顽固文件，可使用BootScan功能在系统登陆前进行病毒查杀。

9、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏，全天候为您的信息安全护航。

10、江民杀毒软件最新版下载地址http //filedown.jiangmin.com/KV2011/inst.exe（30天免费试用，KV2010用户无需卸载可直接覆盖安装）。或者可以使用江民免费在线查毒系统进行病毒检测：http //online.jiangmin.com/