英文名稱：Backdoor/UltimateDefender.asp

中文名稱：“終極騙子”變種asp

病毒長度：50176字節(jié)

病毒類型：后門

危險級別：★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：03fd09a5e1e9043b3b288c7ba0a6388c

特征描述： 

Backdoor/UltimateDefender.asp“終極騙子”變種asp是“終極騙子”后門家族中的最新成員之一，采用高級語言編寫，經(jīng)過加殼保護處理?！敖K極騙子”變種asp運行后，會在被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下釋放經(jīng)過加殼保護的惡意程序“braviax.exe”，在“%SystemRoot%\drivers\”、“%SystemRoot%\system32\drivers\”和“%SystemRoot%\system32\dllcache\”文件夾下釋放惡意驅(qū)動程序“figaro.sys”和“beep.sys”，同時會關(guān)閉系統(tǒng)文件保護提示，防止在覆蓋系統(tǒng)文件時被用戶發(fā)現(xiàn)。創(chuàng)建注冊表項“PC_Antispyware2010”，關(guān)閉系統(tǒng)防火墻、Windows安全中心，同時修改IE瀏覽器默認主頁、搜索頁等為“Google”，并在任務欄右側(cè)托盤區(qū)域彈出“Your computer is infected!”的提示。在未經(jīng)用戶許可的情況下，前往指定的網(wǎng)站“http://poladerfados*ter.com/?wmid=1019&d=3&it=2&s=30”等下載惡意程序。這款名為“PC Antispyware 2010”的虛假殺毒軟件會假裝掃描計算機文件，并向用戶謊報計算機中存在大量的木馬等，如果用戶想通過該軟件清除木馬則需要購買授權(quán)，從而以這種方式對用戶進行詐騙。另外，“終極騙子”變種asp會在被感染系統(tǒng)注冊表啟動項中添加鍵值“braviax”，以此實現(xiàn)開機自動運行。

英文名稱：Backdoor/Wintu.s

中文名稱：“瘟徒”變種s

病毒長度：18944字節(jié)

病毒類型：后門

危險級別：★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：3e4295d7756a4cb76a5a116c4b4cd88b

特征描述： 

 Backdoor/Wintu.s“瘟徒”變種s是“瘟徒”后門家族中的最新成員之一，采用高級語言編寫，經(jīng)過加殼保護處理?！拔镣健弊兎Ns運行后，會自我復制到被感染系統(tǒng)的“C”盤目錄下，重新命名為“l(fā)sass.exe”。關(guān)閉系統(tǒng)防火墻，刪除所有已存在的注冊表啟動項，并為原病毒程序及自身副本“l(fā)sass.exe”創(chuàng)建隨機名稱的啟動項，以此實現(xiàn)開機自啟。不斷生成隨機的IP地址，并掃描該IP地址所對應系統(tǒng)的3128端口，這可能是為了搜尋可用的代理服務器并預謀實施非法攻擊等目的。

針對以上病毒，江民反病毒中心建議廣大電腦用戶：

1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。 

 2、江民KV網(wǎng)絡版的用戶請及時升級控制中心，并建議相關(guān)管理人員在適當時候進行全網(wǎng)查殺病毒，保證企業(yè)信息安全。  

 3、江民殺毒軟件增強虛擬機脫殼技術(shù)，能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進行脫殼掃描，有效清除“殼病毒”。  

 4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能，該功能可對病毒試圖下載惡意程序、強行篡改系統(tǒng)時間、注入進程和調(diào)用其它惡意程序等行為進行監(jiān)控并自動干預、處理，有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞，更大程度提高了計算機對于未知病毒的防范能力。  

 5、江民防馬墻，能夠第一時間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁，可以自動搜集惡意網(wǎng)址并加入特征庫，阻止了網(wǎng)頁木馬的傳播，有效地保障了用戶的上網(wǎng)安全。 

6、全面開啟BOOTSCAN功能，在系統(tǒng)啟動前殺毒，清除具有自我保護和反攻殺毒軟件的惡性病毒。 

7、江民殺毒軟件新增強大的啟發(fā)式掃描，能夠啟發(fā)掃描90％以上的未知病毒。  

8、江民針對感染Delphi編譯環(huán)境和應用程序的“Delphi侵蝕者”病毒推出了專殺工具，請廣大Delphi開發(fā)人員和網(wǎng)民立即下載并對系統(tǒng)進行掃描，從而避免成為病毒傳播的源頭以及被該病毒所感染。下載地址http://filedown.jiangmin.com/download/JMInducKiller.exe 

9、懷疑已中毒的用戶可使用江民免費在線查毒進行病毒查證。免費在線查毒地址：http://online.jiangmin.com/

【編輯推薦】

1. 病毒日報- 51CTO.COM
2. 病毒周報- 51CTO.COM