当日被挂马网站Top5：

　　1、“中国甘谷”：www.gangu.gov.cn，被嵌入的恶意网址为***. cn/index/nYnTdxxz.htm。

　　2、“白河宣传网”：www.bhxcb.gov.cn，被嵌入的恶意网址为***. cc/33/ofnt.htm。

　　3、“苏州大学医学部药学院”：yxx.suda.edu.cn，被嵌入的恶意网址为***. cn/x2/of.htm。

　　4、“盐城师范学院”：experiment.yctc.edu.cn/dangjian/index.asp,被嵌入的恶意网址为***. net/ChinaGame.htm

　　5、“池州信息港”：chz.ah163.net/city/index.html ，被嵌入的恶意网址***. com/maomaoding/haha.htm。

　　当日最流行木马病毒：

　　Trojan.DL.Win32.Edog.x(木马病毒)“云安全”系统共收到12444次用户上报。该病毒运行后会用病毒自带的EXE文件替换掉正常的系统文件，系统启动时就会运行该病毒文件，以此试图关闭多种主流杀毒软件和安全工具。病毒还会解除杀毒软件和安全工具对IE的保护，利用IE浏览器从黑客指定网站对病毒本身进行更新。

　　江民：

　　江民今日提醒您注意：在今天的病毒中TrojanDropper.Dogrobot.a“恶犬”变种a和TrojanDownloader.Klever.c“搬运贼”变种c值得关注。

　　英文名称：TrojanDropper.Dogrobot.a

　　中文名称：“恶犬”变种a

　　病毒长度：976896字节

　　病毒类型：木马释放器

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：316069fff1be920dd841e1a324e39072

　　特征描述：

　　TrojanDropper.Dogrobot.a“恶犬”变种a是“恶犬”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“恶犬”变种a运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”目录下，重新命名为“scvhost.exe”。在该目录下释放恶意DLL组件“*.dll”，文件名随机。另外还会在“%SystemRoot%\”、“%SystemRoot%\system32\drivers\”目录下分别释放恶意程序，并复制系统文件“wininet.dll”到临时文件夹下以供调用。利用其释放的恶意驱动程序，“恶犬”变种a可以穿透一些系统还原程序的保护，并用恶意文件将“explorer.exe”覆盖，以此实现开机自启。其会用正常的“explorer.exe”替换“%SystemRoot%\system32\drivers\gm.dls”，之后将其复制到“%SystemRoot%\TEMP\explorer.exe”，通过对该文件进行调用，使得用户开机时能够正常显示桌面，以此蒙蔽了用户。其会监视并关闭可能弹出的“Windows文件保护”窗口，从而使其在替换系统文件时不被用户所发现。“恶犬”变种a运行时，会关闭并禁用系统防火墙、Windows安全中心服务。关闭安全软件的自我保护功能，终止大量的安全软件、系统工具、应用程序的进程，同时还会通过关闭相关的服务、删除关键文件、利用注册表映像劫持等方式，干扰这些安全软件的正常运行，致使用户的计算机失去保护。在被感染系统的后台连接经过多次解密后得到的URL“http://ll800.kmi*.net/88.txt”，读取该文件中存放的下载地址，然后下载恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制木马、广告程序等，致使用户面临更多的威胁。另外，其还会向指定的页面“http://liuliang.qvodcnz*.com/tj/v7/count.asp”反馈被感染计算机的信息。“恶犬”变种a会通过在被感染系统注册表启动项中添加键值“360safe”的方式实现木马“scvhost.exe”的开机自动运行。

　　英文名称：TrojanDownloader.Klever.c

　　中文名称：“搬运贼”变种c

　　病毒长度：12800字节

　　病毒类型：木马下载器

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校9 7 3 1 2 3 4 8 :

本文来源：华军资讯 作者：苏熠渊整理