江民今日提醒您注意：在今天的病毒中Trojan/Small.epy“小不点”变种epy和TrojanDownloader.Mutant.dq“突变王”变种dq值得关注。

　　病毒名称：Trojan/Small.epy

　　中 文 名：“小不点”变种epy

　　病毒长度：29184字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Small.epy“小不点”变种epy是“小不点”木马家族的最新成员之一，采用VC++编写。“小不点”变种epy运行后，自我复制到“%SystemRoot%\system32\”文件夹下，重命名为“svch0st.exe”，并将文件属性设置为系统、隐藏。修改注册表，实现木马开机自动运行。自我复制到启动文件夹下并重命名，文件名伪装成某安全软件的安装包。启动“iexplore.exe”进程并将病毒代码注入其中，隐藏自我，防止被查杀。强行篡改注册表内容进行映像劫持，禁止近百种安全软件、安全辅助工具以及调试程序的运行，导致用户计算机系统毫无安全保障，严重威胁用户计算机的安全。修改hosts文件，屏蔽大量安全站点，致使大量安全软件无法升级。提升自身权限，强行关闭大量流行安全软件，大大降低了被感染计算机上的安全性。在被感染计算机系统的后台连接骇客指定站点，下载恶意程序。其中，所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等，给被感染计算机用户带来不同程度的损失。另外，“小不点”变种epy会在被感染计算机系统的各个盘符根目录下创建“autorun.inf”文件和木马主程序“setup.exe”文件(文件属性设置为“系统、隐藏”)，达到双击盘符启动“小不点”变种epy运行的目的。

　　病毒名称：TrojanDownloader.Mutant.dq

　　中 文 名：“突变王”变种dq

　　病毒类型：木马下载器

　　病毒长度：33021字节

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanDownloader.Mutant.dq“突变王”变种dq是“突变王”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“突变王”变种dq运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件“WinNt32.dl_”;在“%SystemRoot%\system32\drivers”目录下释放恶意驱动程序“Oas63.sys”。修改注册表，实现木马开机自动运行，并使恶意驱动程序在安全模式下也能够开机自动运行。挂钩系统内核函数，保护病毒程序不被复制、修改、删除。将病毒代码注入到系统进程中加载运行，隐藏自身，防止被查杀。在被感染计算机系统的后台连接骇客指定站点，下载恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含盗号类木马、恶意广告程序、后门等，给用户带来不同程度的损失。

　　针对以上病毒，江民反病毒中心建议广大电脑用户：

　　1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

　　3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

　　4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如：U盘、移动硬盘等)入侵用户计算机，完全保护计算机系统安全。

　　5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。

　　6、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。

　　7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。

金山毒霸提醒您今日注意防范以下病毒： 　　“木马攻击模块4608”(Win32.Troj.AgentT.ff.4608)，这是某木马的组成模块，用于对抗具有主动防御功能的杀毒软件和一些安全工具。它能通过还原SSDT表的方式，使得一些杀软的主动防御功能失效，并解除部分安全工具对系统的保护，为整个木马的下一步作案扫清障碍。 　　“完美盗号者57344”(Win32.Troj.OnlineGameT.pq.57344)，这是个针对《完美世界》的盗号木马。它能够破坏部分安全软件的正常运行，然后盗取游戏帐号和密码，并发送到病毒作者指定的远程地址。 　　一、“木马攻击模块4608”(Win32.Troj.AgentT.ff.4608) 威胁级别：★★ 　　日渐流行的对抗型下载器，如机器狗、磁碟机等，都具有一个专门用于对抗安全软件的模块。本篇预警播报中的病毒，正是一个这种功能的木马模块。 　　这个模块是一个驱动文件。当它随着整个木马进入用户电脑后，就会被释放出来。它把自己的一个函数注册为系统运行时需要调用的函数，还原系统SSDT表，如果这个动作成功，就可以解除一些具有所谓主动防御功能的杀毒软件的武装。 　　接着，它继续修改系统中的数据，将磁盘驱动、桌面驱动等驱动文件，以及系统调度服务的部分函数破坏，令用户无法正常操作系统。 　　如果在用户电脑中发现加密狗等加密软件，此木马模块也会修改它们的部分数据，将它们的函数指向自己，从而使加密软件失效。 　　当病毒作者将这一木马模块配置到任何一个别的木马上时，那些木马也就具备了对抗安全软件的能力。毒霸反病毒工程师认为，这种情况代表着病毒制造者的分工继续细化了。 　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agentt-ff-4608-50731.html 　　二、“完美盗号者57344”(Win32.Troj.OnlineGameT.pq.57344) 威胁级别：★ 　　病毒进入电脑后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件MMSADZFB1064.exe、MMSADZFB1064.dll，其中前者是病毒主文件，会被写入注册表启动项，令病毒实现开机自启动，而后者用于注入进程盗取帐号。 　　该病毒具有一定程度的对抗能力，可以破坏一些安全软件的正常运行。它在系统盘%WINDOWS%\system32\drivers\文件夹中生成驱动文件Hdv32.sys和Hdv32_.sys，利用它们替换SSDT表的系统服务函数地址，让具有主动防御功能的杀毒软件失效。 　　随后，病毒直接枚举进程，强行关闭360安全卫士、瑞星等安全软件的进程。同时它会把《完美世界》的进程也关闭。 　　当用户重新登录游戏时，病毒就利用之前释放出的dll文件记录下用户输入的帐号和密码，并发送至指定的接收网址。 　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegamet-pq-57344-50732.html 　　金山反病毒工程师建议 　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。 　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

谢谢楼主提醒，看来这一阵上网要小心。

最近要小心点了

最近要多注意点就可以了