【51CTO.com 綜合消息】江民今日提醒您注意：在今天的病毒中Trojan/Chifrax.gf“橘色誘惑”變種gf和Trojan/PSW.R2.f“R2竊賊”變種f值得關(guān)注。

英文名稱：Trojan/Chifrax.gf

中文名稱：“橘色誘惑”變種gf

病毒長度：870637字節(jié)

病毒類型：木馬

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

MD5 校驗(yàn)：a0aab0ca94706d29e21761c6fd4d12de

特征描述：

Trojan/Chifrax.gf“橘色誘惑”變種gf是“橘色誘惑”木馬家族中的最新成員之一，采用SFX自解壓格式存儲(chǔ)，是一個(gè)偽裝成“偷懶豬”傳奇外掛的木馬程序。“橘色誘惑”變種gf運(yùn)行后，會(huì)在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\”目錄下自動(dòng)解壓出“偷懶豬官方免費(fèi)版.exe”、“說明.txt”、“日志.txt”、“config.xml”和“dd55ee22ff.exe”，并自動(dòng)調(diào)用所釋放的木馬程序。

木馬程序運(yùn)行后，會(huì)在“%SystemRoot%\system32\”目錄下釋放隨機(jī)文件名的惡意DLL功能組件“*.esl”，并修改文件的“創(chuàng)建時(shí)間”和“修改時(shí)間”為系統(tǒng)安裝日期，以此迷惑用戶。創(chuàng)建“svchost.exe”進(jìn)程，并將惡意代碼注入其中隱密運(yùn)行，防止被輕易地發(fā)現(xiàn)和查殺。

在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)秘密監(jiān)視用戶的鍵盤輸入，將用戶的鍵盤輸入、窗口標(biāo)題、時(shí)間等信息記錄到“*.key”文件中，并發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上，從而給被感染計(jì)算機(jī)的用戶造成了不同程度的虛擬財(cái)產(chǎn)損失。

另外，該木馬會(huì)在被感染計(jì)算機(jī)中注冊名為“ggzrac”的系統(tǒng)服務(wù)，以此實(shí)現(xiàn)木馬在開機(jī)后的自動(dòng)運(yùn)行。其中，該服務(wù)的描述為：“Microsoft .NET Framework TPM”，啟動(dòng)路徑為“svchost.exe -k ggzrac”。

英文名稱：Trojan/PSW.R2.f

中文名稱：“R2竊賊”變種f

病毒長度：35840字節(jié)

病毒類型：盜號(hào)木馬

危險(xiǎn)級(jí)別：★

影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

MD5 校驗(yàn)：199f4321c69eadef565b67c1b805025b

特征描述：

Trojan/PSW.R2.f“R2竊賊”變種f是“R2竊賊”盜號(hào)木馬家族中的最新成員之一，采用“Borland Delphi”編寫，是一個(gè)由其它惡意程序釋放出來的DLL功能組件。“R2竊賊”變種f通常會(huì)被插入到“explorer.exe”等幾乎所有用戶級(jí)權(quán)限的進(jìn)程中加載運(yùn)行，隱藏自我，提高了木馬自身的生存幾率。

“R2竊賊”變種f是一個(gè)專門盜取“冒險(xiǎn)島Online”、“彩虹島”、“預(yù)言”、“神泣”網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，運(yùn)行后會(huì)先確認(rèn)自身是否已經(jīng)被插入到指定的游戲進(jìn)程中。如果插入成功，則會(huì)通過消息鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、金錢數(shù)量、倉庫密碼等信息。

并在后臺(tái)將竊取到的玩家機(jī)密信息發(fā)送到駭客指定的遠(yuǎn)程站點(diǎn)“http://milw0rm.n**.cn/my/”上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。另外，“R2竊賊”變種f會(huì)通過在被感染計(jì)算機(jī)注冊表啟動(dòng)項(xiàng)中添加鍵值或者注冊系統(tǒng)服務(wù)的方式實(shí)現(xiàn)開機(jī)自啟。

針對以上病毒，江民反病毒中心建議廣大電腦用戶：

1、請立即升級(jí)江民殺毒軟件，開啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計(jì)算機(jī)。

2、江民KV網(wǎng)絡(luò)版的用戶請及時(shí)升級(jí)控制中心，并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒，保證企業(yè)信息安全。

3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)，能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進(jìn)行脫殼掃描，有效清除“殼病毒”。

4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能，該功能可對病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)、處理，有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞，更大程度的提高了計(jì)算機(jī)對于未知病毒的防范能力。

5、江民防馬墻，能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁，可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫，阻止了網(wǎng)頁木馬的傳播，有效地保障了用戶的上網(wǎng)安全。

6、全面開啟BOOTSCAN功能，在系統(tǒng)啟動(dòng)前殺毒，清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。

7、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證。

免費(fèi)在線查毒地址：http://pay.jiangmin.com/online/jiangmin/kvkillonline.aspx