当日被挂马网站Top5：

　　1、“育路网”：www.yuloo.com/lsks/juan2/zhenti，

　　被嵌入的恶意网址为****.com/html/youxi/html/youxi/xiuxianyule/wm/5.htm?121111。

　　2、“二十一世纪人才网”：hk.21cnhr.com/zhinan_ywsl.asp，

　　被嵌入的恶意网址为*****.cn/aa/02.htm。

　　3、“大河网法制频道”：law.dahe.cn/gongshang，

　　被嵌入的恶意网址为*****.cn/aa/of.htm。

　　4、“厦门网”：shop.xmnn.cn/xmsz/spxx.asp?spid=69&qyid=177，

　　被嵌入的恶意网址为****.cn/aa/of.htm。

　　5、“商都网”：shouyu.edu.shangdu.com，

　　被嵌入的恶意网址*****.org/3/yl.htm。

　　挂马网站详情请点击：http://bbs.ikaka.com/showforum.aspx?forumid=20039

　　江民：

　　江民今日提醒您注意：在今天的病毒中Trojan/Chifrax.ol“橘色诱惑”变种ol和Trojan/PSW.WOW.ahe“魔兽贼”变种ahe值得关注。

　　英文名称：Trojan/Chifrax.ol

　　中文名称：“橘色诱惑”变种ol

　　病毒长度：288105字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：5f6eb2e5f76fb2ff91033d3f9fac331e

　　特征描述：

　　Trojan/Chifrax.ol“橘色诱惑”变种ol是“橘色诱惑”木马家族中的最新成员之一，采用SFX自解压格式存储。“橘色诱惑”变种ol运行后，会在“%SystemRoot%\system32\”文件夹下释放恶意程序“fz1.exe”和快播视频点播软件“Qvod3.exe”。“fz1.exe”运行后，会在被感染系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“killdll.dll”，在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”、“aec.SYS”或者“AsyncMac.sys”，还会在临时文件夹下释放恶意程序“update~.exe”，并通过恶意驱动替换系统文件“userinit.exe”，以此达到开机自启动的目的。自我复制到“%SystemRoot%\system32\”目录下，并重新命名为“scvhost.exe”。利用其释放的恶意驱动程序关闭安全软件的自保护功能，同时终止大量的安全软件、系统工具、应用程序的进程和相关的系统服务等，致使用户的计算机系统失去保护。连接骇客指定的远程服务器站点“http://d.qv7*8.com/”，读取配置文件“..\host.txt”，按照其中的配置修改“%SystemRoot%\system32\drivers\etc\hosts”文件，通过域名映像劫持功能屏蔽大量的站点。获取恶意程序下载列表“..\down\01\fz.txt”，下载该文件中指定的恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等，从而给用户造成了不同程度的损失。该恶意文件还会连接指定的页面“http://count.key51*8.com/down/01/get.asp”，从而对感染情况进行统计。

　　英文名称：Trojan/PSW.WOW.ahe

　　中文名称：“魔兽贼”变种ahe

　　病毒长度：17218字节

　　病毒类型：盗号木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：1fa5462493898f1fc078c33e27418223

　　特征描述：

　　Trojan/PSW.WOW.ahe“魔兽贼”变种ahe是“魔兽贼”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“魔兽贼”变种ahe运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”目录下，重新命名为“Vip0501.exe”，文件属性设置为“系统”。同时，还会修改文件的时间属性(“创建时间”和“修改时间”)，以此迷惑用户，从而达到9 7 3 1 2 3 4 8 :

本文来源：华军资讯 作者：苏熠渊整理