焦點間諜篡改系統時間 魔笛斯入侵註冊表

【賽迪網-IT技術報道】江民今日(8月15日)提醒您注意：在今天的病毒中TrojanSpy.Pophot.ajj「焦點間諜」變種ajj和Trojan/Multis.d「魔笛斯」變種d值得關注。

病毒名稱：TrojanSpy.Pophot.ajj

中 文 名：「焦點間諜」變種ajj

病毒長度：29696字節

病毒類型：間諜類木馬

危害等級：★

影響平台：Win 9X/ME/NT/2000/XP/2003

TrojanSpy.Pophot.ajj「焦點間諜」變種ajj是「焦點間諜」木馬家族的最新成員之一，採用Delphi編寫。「焦點間諜」變種ajj是由某木馬程序釋放出來的DLL木馬組件，一般被注入到「EXPLORER.EXE」進程中加載運行，以此隱藏病毒程序，躲避安全軟體的查殺。「焦點間諜」變種ajj運行後，強行篡改被感染計算機上的系統時間，致使某些安全軟體失效。在後台秘密監視被感染計算機上的窗口標題，一旦發現與安全相關的窗口彈出便立刻強行將其關閉，大大地降低了被感染計算機的安全性。在後台連接駭客指定的伺服器站點，下載惡意程序並在被感染計算機上自動調用運行，給用戶帶來一定程度的危害。另外，「焦點間諜」變種ajj還可能會在各個盤符根目錄下創建「autorun.inf」文件和木馬程序文件，以實現雙擊盤符運行病毒的目的。

病毒名稱：Trojan/Multis.d

中 文 名：「魔笛斯」變種d

病毒長度：8832字節

病毒類型：木馬

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Multis.d「魔笛斯」變種d是「魔笛斯」木馬家族的最新成員之一，採用高級語言編寫。「魔笛斯」變種d是由某木馬程序釋放出來的驅動文件，採用高級ROOTKIT技術編寫而成，一般被註冊為設備驅動，以實現木馬程序開機自動運行。「魔笛斯」變種d運行後，恢復系統SSDT，致使某些安全軟體的主動防禦功能失效。通過HOOK SSDT以及HOOK IRP來隱藏病毒進程、病毒文件和病毒在註冊表中的啟動項，防止自身以及木馬主程序被安全軟體所查殺。其中，一些關鍵性的資料信息在木馬驅動程序文件體內是加密存放的，一旦用戶計算機系統感染該病毒，則很難清除乾淨。

針對以上病毒，江民反病毒中心建議廣大電腦用戶：

1、請立即升級江民殺毒軟體，開啟新一代智能分級高速殺毒引擎及各項監控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。

2、江民KV網絡版的用戶請及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒，保證企業信息安全。

3、全面開啟BOOTSCAN功能，在系統啟動前殺毒，清除具有自我保護和反攻殺毒軟體的惡性病毒。

4、江民殺毒軟體「移動儲存接入殺毒」能杜絕病毒利用移動設備（如：USB隨身碟、移動硬碟等）入侵用戶計算機，完全保護計算機系統安全。

(