"摩登王"木馬篡改註冊表並下載惡意程序

【賽迪網-IT技術報道】江民今日(7月30日)提醒您注意：在今天的病毒中Trojan/Monder.ahk「摩登王」變種ahk和I-Worm/SuperLamer.b「超爛王」變種b值得關注。

病毒名稱：Trojan/Monder.ahk

中 文 名：「摩登王」變種ahk

病毒長度：62976字節

病毒類型：木馬

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Monder.ahk「摩登王」變種ahk是「摩登王」木馬家族的最新成員之一，採用高級語言編寫，並經過添加保護殼處理。「摩登王」變種ahk運行後，自我複製到被感染計算機系統「%SystemRoot%/system32/」目錄下，文件名由5位隨機小寫字母組成。修改註冊表，實現木馬開機自啟動。將惡意代碼注入「winlogon.exe」和「explorer.exe」進程中運行，隱藏自我，防止被查殺。通過提升自身權限、強行篡改註冊表鍵值等方法查找並強行關閉大量流行的安全軟體、瀏覽器輔助安全插件等，可能會卸載某些安全軟體，極大地降低了被感染計算機系統的安全性。不定時彈出廣告窗口，影響用戶正常使用計算機。在後台秘密收集被感染計算機的系統信息，發送到駭客指定的伺服器站點上。連接駭客指定站點，下載惡意程序並在被感染計算機上自動調用運行。其中，所下載的惡意程序可能是網游木馬、廣告程序（流氓軟體）、後門等，給被感染計算機用戶帶來不同程度的損失。另外，「摩登王」變種ahk具有自我刪除的功能，以便消除痕跡。

病毒名稱：I-Worm/SuperLamer.b

中 文 名：「超爛王」變種b

病毒長度：10240字節

病毒類型：網絡蠕蟲

危害等級：★

影響平台：Win 9X/ME/NT/2000/XP/2003

I-Worm/SuperLamer.b「超爛王」變種b是「超爛王」網絡蠕蟲家族的最新成員之一，採用VB編寫，並經過添加保護殼處理。「超爛王」變種b運行後，將自身添加為啟動項，實現蠕蟲開機自動運行。修改hosts文件，屏蔽大量安全站點，致使某些安全軟體不能夠進行在線升級。強行篡改註冊表，大大地降低了被感染計算機系統的安全性。收集被感染計算機上用戶的信息，發送到駭客指定的伺服器站點上。在後台搜索被感染計算機中的*.htm、*.PHP、*.xls、*.asp等文件，查找有效的郵箱地址，利用自帶的SMTP引擎群髮帶毒郵件，從而通過電子郵件實現蠕蟲病毒的傳播。

針對以上病毒，建議廣大電腦用戶：

1、請立即升級江民殺毒軟體，開啟新一代智能分級高速殺毒引擎及各項監控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。

2、江民KV網絡版的用戶請及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒，保證企業信息安全。

3、全面開啟BOOTSCAN功能，在系統啟動前殺毒，清除具有自我保護和反攻殺毒軟體的惡性病毒。

4、江民殺毒軟體採用窗口保護以及進程保護技術，避免病毒關閉殺毒軟體進程，確保殺毒軟體自身安全，更好地保護用戶計算機的安全。

(