下载地址 http://labs.duba.net/jjx.shtml

　　瑞星：

　　瑞星： “赛迪网”、“性康网”等网站被挂马

　　当日安全综述：

　　据瑞星“云安全”系统统计，12月16日，共有1,557,978人次的网民遭到网页挂马攻击，瑞星共截获了115,207个挂马网址。

　　当日被挂马网站Top5：

　　1、“赛迪网”：ezit.ccidnet.com/html/youxi/dongman/200808/20-44015.html，

　　被嵌入的恶意网址为***.net/forumdata/inc/h1.htm。

　　2、“中国自考网”：www.chinazikao.com/one/com8/xingu.asp?5124.html，

　　被嵌入的恶意网址为***. cn/db。

　　3、“淘职网”：www.go2work.com.cn/zhaopin/24,

　　被嵌入的恶意网址为***. cc/11/mp.htm。

　　4、“性康网”：www.sexkang.com/Photo/Index.htm，

　　被嵌入的恶意网址为***.cc/11/mp.htm。

　　5、“妆网论坛”：bbs.zhuangwang.com，

　　被嵌入的恶意网址为***. org:8688/downhtml/a4.htm。

　　挂马网站详情请点击：http://bbs.ikaka.com/showforum.aspx?forumid=20039

　　当日最流行木马病毒：

　　Trojan.Win32.Nodef.xua(木马病毒) “云安全”系统共收到17474次用户上报。该病毒运行后会获取用户系统的操作权限，然后连接到黑客的远程服务器，以便黑客盗窃电脑中的信息或对电脑进行非法控制，并且会下载大量病毒到用户电脑。

　　江民：

　　江民今日提醒您注意：在今天的病毒中TrojanDownloader.Boltolog.apv“逃逸者”变种apv和Trojan/AntiDebug.is“反杀鬼”变种is值得关注。

　　英文名称：TrojanDownloader.Boltolog.apv

　　中文名称：“逃逸者”变种apv

　　病毒长度：93560字节

　　病毒类型：木马下载器

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：964d826570cb21bff32275a313a88f48

　　特征描述：

　　TrojanDownloader.Boltolog.apv“逃逸者”变种apv是“逃逸者”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“逃逸者”变种apv仅会在安装有“Realtek”声卡驱动的计算机上运行。运行后，会自我复制到被感染系统的“%ProgramFiles%\Realtek\Adpath\”文件夹下，重新命名为“RTHDCPL.exe”。同时在“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意程序“*.dll”(文件名为随机字符串)。该恶意DLL文件运行后，会释放三个不同的驱动程序，用以结束安全软件的自我保护和穿透某些文件保护系统。还会释放其它的恶意程序，用于替换系统程序“userinit.exe”等。“逃逸者”变种apv运行时，会关闭安全中心、系统防火墙以及一些防病毒软件的服务。利用注册表映像文件劫持功能，干扰大量安全软件的正常启动运行。连接骇客指定的站点“http://test.open20*9.net/”，读取文件“cs.txt”，并根据其中的下载地址下载大量的恶意程序并自动调用运行，从而给用户造成了更大的损失。同时，“逃逸者”变种apv会向该网站反馈信息以进行感染统计。另外，“逃逸者”变种apv会通过修改注册表的方式实现开机自启。

　　英文名称：Trojan/AntiDebug.is

　　中文名称：“反杀鬼”变种is

　　病毒长度：25088字节

　　病毒类型：木马

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：5e56488c6e6e6faee6bd9c41d3b8570d

　　特征描述：

　　Trojan/AntiDebug.is“反杀鬼”变种is是“反杀鬼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“反杀鬼”变种is运行后，会自我复制到被感染9 7 3 1 2 3 4 8 :

本文来源：华军资讯 作者：苏熠渊整理