华军近期电脑病毒播报

　　金山：

　　一、“变种鸽子549376”(Win32.Troj.Inject.pe.549376) 威胁级别：★★

　　灰鸽子被打击之后，并没有停止运作，而是转入地下，继续制作着各种后门程序。此篇预警播报中的这个病毒就是灰鸽子的一个新变种。

　　病毒运行后首先检测所在电脑是否已被感染过，若没有，则释放出自身文件fes.Exe到系统盘下的%WINDOWS%目录。为防止被修改和迷惑用户，病毒会将其文件属性设置为只读和系统。然后，病毒注册fes.exe为服务sght,服务描述名dswf，描述信息dju。同时，病毒修改注册表相应位置，将fes.Exe设置为开机自启动。

　　完成以上步骤后，病毒为清除自身痕迹，创建并运行bat文件来删除自身原始文件，将后续任务都交给fes.exe。

　　接下来，fes.Exe要做的就是在后台悄悄连接黑客指定端口，接收命令。经毒霸反病毒工程师检查，该病毒为控制端设计了相当多控制功能，用户的电脑一旦中招，黑客几乎可以对其进行完全的远程控制。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-inject-pe-549376-50653.html

　　二、“泽尼特变种131584”(Worm.Zhelatin.xv.131584) 威胁级别：★

　　利用邮件进行传播的病毒已不多见，不过毒霸反病毒工程师还是在近来流行的病毒中发现了这类病毒的身影。

　　这个病毒运行后，在系统盘的%WINDOWS%目录中释放出病毒文件kavir.exe和nivavir.config。其中kavir.exe是病毒自身副本，nivavir.config实际上是配置ini文件，包含了病毒运行时需要用到的连接端口号、邮件主题、发件人等信息。病毒作者对这些信息经过了加密。

　　当释放完毕，病毒就修改系统注册表中的相关数据，使kavir.exe实现开机自启动。并修改防火墙的数据，使得病毒可以自由连接网络，并与指定服务器同步系统时间。

　　病毒开启本机端口16595，发送用户名密码昵称等交互信息连接黑客制定地址，在这个端口上监听黑客的指令。然后，它搜索计算机中的EMAIL地址，自动向这些地址发送邮件，附件为病毒自身。

　　为了欺骗用户，邮件服务器伪装为yahoo.com，gmail.com等，邮件的主题和发件人等信息从nivavir.config中选取。

　　点击下载金山软件

　　瑞星：

　　西游木马变种AET (Trojan.PSW.Win32.XYOnline. aet) 警惕程度 ★★★☆

　　该木马运行后，在系统目录下释放msosdohs00.Dll、msosfpids32.Sys病毒文件，修改注册表实现随系统启动。不断搜索杀毒软件进程，并试图将其强行关闭，使得某些杀毒软件不能正常运行。搜索《大话西游2》的进程，然后将自己注入，通过搜索内存的方式盗取游戏账号和密码，并将其发送出去。

　　点击下载瑞星软件

　　江民：

　　病毒名称：TrojanDownloader.JS.Agent.hy

　　中 文 名：“代理木马”变种hy

　　病毒长度：2177字节

　　病毒类型：木马下载器

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanDownloader.JS.Agent.hy“代理木马”变种hy是“代理木马”木马家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用“迅雷”中的漏洞传播其它病毒。“代理木马”变种hy一般内嵌在正常网页中，如果用户计算机没有及时安装“迅雷”下载软件发布的相应漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种hy的恶意网页时，就会在当前用户计算机的后台连接骇客指定的远程服务器站点，下载大量恶意程序并在被感染计算机上自动调用运行。其中