江民今日提醒您注意：在今天(2009年3月28日)的病毒中Trojan/StartPage.bfg“初始页”变种bfg和Trojan/Vaklik.axm“伪颗粒”变种axm值得关注。

英文名称：Trojan/StartPage.bfg

中文名称：“初始页”变种bfg

病毒长度：37376字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：7aa9395913b8d3396fe24c1c6ad3d5a7

特征描述：

Trojan/StartPage.bfg“初始页”变种bfg是“初始页”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“初始页”变种bfg运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“dNZsOC.dll”，在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“sqmql.sys”，并修改上述文件的时间属性（“创建时间”和“修改时间”）为系统安装日期，以此迷惑用户，达到了更好的隐藏效果。将释放的恶意DLL组件以及驱动程序插入到系统进程中加载运行，增强了进程的隐蔽性，从而防止被轻易地发现。“初始页”变种bfg会强行篡改IE浏览器的属性和桌面IE快捷方式，设置IE浏览器默认主页为骇客指定站点“www.67*.cn”，致使用户在打开IE浏览器后便会自动连接至该站点，为其增加了访问量，从而给骇客带来了不法的经济利益。“初始页”变种bfg还可能搜集用户的信息，由此造成了用户隐私的泄露。同时，该木马还会连接骇客指定的URL“http://www.buyaohenc*ng.com.cn/api.php”和“http://www.woyaochidon*i.com.cn/update.php”进行自身的更新和下载其它恶意程序等行为，从而给用户造成更大程度的侵害。“初始页”变种bfg的主程序在安装完毕后会将自我删除，从而达到了消除痕迹的目的。另外，其会通过将驱动注册为系统服务的方式实现木马的开机自启。

英文名称：Trojan/Vaklik.axm

中文名称：“伪颗粒”变种axm

病毒长度：194945字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：6513f8803d93e45e36b45825c1bc5eb2

特征描述：

Trojan/Vaklik.axm“伪颗粒”变种axm是“伪颗粒”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“伪颗粒”变种axm运行后，会先在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“klif.sys”或“cdaudio.sys”，然后会将自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“kxvo.exe”。同时，还会在该目录下释放恶意DLL组件“wedasgads*.dll”和“dse235rgd*.dll”，并将这些DLL组件注册成名为“IEHlprObj”的浏览器辅助对象，以此实现恶意推广某些指定网站的目的，使得不法分子从中获利，也干扰了用户对计算机的正常使用。“伪颗粒”变种axm运行时，会将恶意代码注入到系统的“explorer.exe”进程中加载运行，以此隐藏自我，防止被轻易地查杀。强行篡改注册表相关键值，破坏“显示系统隐藏文件”功能，并开启系统中所有驱动器的自动播放功能，为实现其通过移动设备等进行传播创造了条件。“伪颗粒”变种axm是一个盗取“冒险岛Online”、“十二之天貳Online”、“苍天”、“天堂2”等网络游戏账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行的指定游戏进程。一旦发现指定进程的存在，便会通过键盘钩子等手段盗取网络游戏玩家的游戏账号、游戏密码、金钱数量、仓库密码等信息，并将窃得的信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。“伪颗粒”变种axm会通过在系统注册表启动项中添加键值“kxva”的方式来实现木马的开机自动运行。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。

4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。

5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。

6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。

7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

8、禁用系统的自动播放功能，防止病毒通过U盘、移动硬盘、MP3等移动存储设备感染计算机。