威尔佐夫变种JV（Worm.Mail.Warezov.jv）

病毒：警惕程度★★★☆

蠕虫病毒，通过电子邮件传播

依赖系统：WIN9X/NT/2000/XP。


该病毒会自动搜索用户计算机上多种格式的文件，从中提取电子邮件地址，并向这些地址发送病毒邮件。其他用户打开这些邮件的附件，就会被病毒感染。该病毒大量发送垃圾邮件会造成用户计算机速度减慢，网络带宽被严重占用，甚至会造成一些局域网络崩溃。

Adware/Clicker.fr“鞋匠”变种fr

病毒名称：Adware/Clicker.fr
中 文 名：“鞋匠”变种fr
病毒长度：可变
病毒类型：广告程序
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003


Adware/Clicker.fr“鞋匠”变种fr是一个广告程序，可弹出大量广告信息，并在被感染计算机上下载其它病毒。“鞋匠”变种fr运行后，在Windows目录下创建病毒文件。修改注册表，实现开机自启。自我注册为服务，服务的名称随机生成。侦听黑客指令，连接指定站点，弹出大量广告条幅，用户一旦点击带毒广告，立即在用户计算机上安装其它病毒。

TrojanDownloader.JS.Small.l“小不点”变种l

TrojanDownloader.JS.Small.l“小不点”变种l是一个用JavaScript语言编写的木马下载器，该木马一般内嵌在恶意网页中。当用户登陆恶意网页后，病毒自动从指定网址下载木马程序，并且在被感染的计算机上自动运行，盗取用户的机密信息。

病毒、木马、流氓软件（恶意软件）等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
3、江民杀毒软件的系统级行为监控功能，从注册表、系统进程、内存、网络等多方面对各种操作行为进行主动防御并报警，全方位保护用户计算机系统安全。
4、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

土匪病毒（Win32.TuFei.a）

“土匪(Win32.TuFei.a)”病毒

警惕程度★★★★

文件病毒，自我复制传播

依赖系统：WIN9X/NT/2000/XP。

文件保护恢复该文件，关闭后病毒可以任意修改系统文件。病毒会记录用户的所有键盘操作，窃取用户的账号、密码等个人信息。

　反病毒专家建议：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。

病毒名称：Trojan/Agent.avx
中 文 名：“代理木马”变种avx
病毒长度：可变
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP
Trojan/Agent.avx“代理木马”变种avx是一个开启指定端口，未经授权访问用户计算机的木马程序。“代理木马”变种avx运行后，自我复制到系统目录下和Windows目录下。修改Win.ini和System.ini文件，实现开机自启。开启1000，1001，2283端口，侦听黑客指令，通过特定的IRC通道连接指定的IRC服务器，记录键击，盗取用户机密信息，并将用户机密信息发送到指定的邮箱里。

“天堂木马变种MMG（Trojan.PSW.Lineage.mmg）”病毒。

它是专门偷窃网络游戏“天堂”玩家信息的木马病毒，会窃取玩家的账号、密码、服务器等信息并发送给黑客。
病毒：警惕程度★★★

木马病毒，通过网络传播

依赖系统：WIN9X/NT/2000/XP。

病毒运行后将自身复制到操作系统Windows目录下，并修改注册表实现自启动。病毒会窃取网络游戏“天堂”玩家的账号、密码、服务器等信息并发送给黑客。同时，它还会造成多种杀毒软件无法正常使用，同时修改本机系统配置文件，令多个杀毒软件厂商的主页无法访问，使用户感染病毒的几率增加。

反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

计算机病毒“求职信”（Ｗｏｒｍ_Ｋｌｅｚ.Ａ）12月10日发作

这种病毒将使受到感染的计算机系统按照邮件地址簿中的邮件地址自动向外发送带有病毒附件的邮件，同时破坏计算机系统上的数据，使其无法正常使用，还会终止系统中防病毒软件的运行，并将其从计算机系统中删除。

　　专家提醒：没有感染病毒的计算机用户应该及时升级系统中的防病毒软件，同时打开防病毒软件的“实时监控”功能；已经感染病毒的计算机用户，建议尽快下载专杀工具进行查杀修复工作。

解决方案: AUTOMATIC REMOVAL INSTRUCTIONS To automatically remove this malware from your system, please use the Trend Micro System Cleaner. MANUAL REMOVAL INSTRUCTIONS Please download Microsoft's security update. Delete all email messages containing the details described above. Restore your system configurations through the registry. Click Start>Run, type Regedit.exe then hit the Enter key. Double click the following: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run On the right panel, look for the following registry value: Wqk Click this value then hit the Delete key. On the right panel, look for the following registry value: Krn132 Click this value then hit the Delete key. Close the Registry. Restart your system. Scan your system with Trend Micro antivirus and delete all files detected as TROJ_KLEZ.A. To do this Trend Micro customers must download the latest pattern file and scan their system. Other email users may use HouseCall, Trend Micro抯 free online virus scanner.

注意Trojan/Agent.apn“代理木马”变种apn

病毒名称 Trojan/Agent.apn
病毒中文名 “代理木马”变种apn
病毒类型 木马
危险级别 ★★
影响平台 Win 9X/ME/NT/2000/XP/2003
感染对象
描述

Trojan/Agent.apn“代理木马”变种apn是一个将被感染计算机的浏览器首页强制篡改为my123.com的木马程序。“代理木马”变种apn运行后，自我复制到系统目录下，文件名随机生成。修改注册表，实现开机自启。将被感染计算机的浏览器首页强制篡改为my123.com,采用Rootkit技术、随机更改驱动名称，对自身进程及文件进行多线程保护，具有极强的自动恢复能力。

Banker.FJI木马

　Banker.FJI是种木马，它在用户访问某些巴西银行站点（比如Banco do Brasil, Bradesco或者Itau）时，会显示伪造的登陆窗口。用户在伪造页面输入账户信息，或者在被木马监视的合法页面输入账户信息后，那些数据就被输入到一个文本文档中然后发送给木马的作者。它还能监视在访问与Banco do Brasil相关站点所产生的网络传输信息。

　　Banker.FJI不能自动传播，因此攻击者得自己散播该木马。散播木马的方法有很多，包括软盘，CD-ROM，带附件的电子邮件，网络下载，通过FTP，IRC通道，P2P文件共享网络传输的文件等等。

　　用户很容易就可以识别该木马的中毒现象，计算机一感染该病毒就会在屏幕上显示一则消息。

冬日之恋后门变种CH（Backdoor.WinterLove.ch）

该病毒会向系统里释放病毒文件，并修改注册表实现开机自动运行。中毒之后，攻击者可对电脑进行远程控制，进行多种危险操作如：记录键盘、结束指定的进程、强制重启电脑、执行系统命令、获取系统信息、从网上下载指定的文件等等。

反病毒专家建议电脑用户采取以下措施预防该病毒：

1、建立良好的安全习惯，不打开可疑邮件和可疑网站；

2、很多病毒利用漏洞传播，一定要及时给系统打补丁；

3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；

4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

Worm.Win32.Viking.ai

基本信息:

这是一个网络蠕虫病毒。它通过互联网资源复制自身。该蠕虫自身是一个 Windows PE EXE 文件，大小 49152 字节。使用 UPX 加密并且解密后文件大小 219 KB 。它是使用 Borland Delphi 编写的。

安 装:

在安装时该蠕虫复制自身到 Windows 根目录：

%WinDir%\rundl132.exe

该蠕虫注册该文件到系统注册表中以确保每次开机后自动加载。在 Win 98/Me 系统中：

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"load"="%WinDir%\rundl132.exe"

在其它系统中：

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%WinDir%\rundl132.exe"

该蠕虫随后检测系统日期，如果系统日期晚于 2105 年 1 月 4 日 ，它将终止活动。

该蠕虫同样会在系统跟目录下注册一个名为 Dll.dll 大小 24 575 字节的文件：

%WinDir%\dll.dll

该蠕虫随后注册动态链接库到 Explorer.exe 和 Iexplore.exe 进程中，同时创建以下注册表键值：

[HKLM\Software\Soft\DownloadWWW]
"auto"="1"

通过局域网传播:

该蠕虫复制自身到以下共享网络资源：

ADMIN$

IPC$

行为分析：

该蠕虫扫描该系统并且终止以下名称的进程：

EGHOST.EXE

IPARMOR.EXE

KAVPFW.EXE

MAILMON.EXE

mcshield.exe

RavMon.exe

Ravmond.EXE

regsvc.exe

该蠕虫同样会关闭金山反病毒软件的服务。

它同样会查找除了以下目录中的所有 EXE 文件：

Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
NetMeeting
Recycled
System
System Volume Information
system32
windows
Windows NT
WindowsUpdate
winnt

该蠕虫会检测以下文件名，并且将该蠕虫本体注入这些程序文件：

ACDSee4.exe

ACDSee5.exe

ACDSee6.exe

AgzNew.exe

Archlord.exe

AutoUpdate.exe

autoupdate.exe

BNUpdate.exe

Datang.exe

editplus.exe

EXCEL.EXE

flashget.exe

foxmail.exe

FSOnline.exe

GameClient.exe

install.exe

jxonline_t.exe

launcher.exe

lineage.exe

LineageII.exe

MHAutoPatch.exe

Mir.exe

msnmsgr.exe

Mu.exe

my.exe

NATEON.exe

NSStarter.exe

Patcher.exe

patchupdate.exe

QQ.exe

Ragnarok.exe

realplay.exe

run.exe

setup.exe

Silkroad.exe

Thunder.exe

ThunderShell.exe

TTPlayer.exe

Uedit32.exe

Winrar.exe

WINWORD.EXE

woool.exe

zfs.exe

当这些文件被运行时，将会执行一个被感染的病毒文件。

在所有目录中扫描扩展名为 .exe 的文件，该蠕虫创建一个文件名为 "_desktop.ini" 的文件。该文件使用 " 隐藏 " 和 " 系统 " 属性 ，并且包含该蠕虫运行的日期。

该蠕虫同样发送一个 ICMP 请求使用 “Hello, World” ，来检测可用的网络资源。随后扫描所有共享网络资源并且感染以上所提到的文件。

该蠕虫如果在系统中发现 avp.exe 进程则会将卷级别设置为 0 。

该蠕虫包含一个 URLs 地址列表来检测文件。如果该文件被保存到任意一个地址，它将被下载到系统中并运行。

灰鸽子变种LCU（Backdoor.Gpigeon.lcu）

该病毒会向系统里释放病毒文件并修改注册表实现开机自动运行。中毒之后，攻击者可对电脑进行远程控制，进行多种危险操作如：记录键盘、结束指定的进程、强制重启电脑、执行系统命令、获取系统信息、从网上下载指定的文件等等。

反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

诡秘下载器变种EOR（Trojan.DL.Delf.eor）

病毒在后台运行，并会尝试从网络中下载病毒、木马文件到本地运行。下载的病毒和木马会对用户的信息安全造成威胁，如窃取用户的网络银行账号和密码、远程控制染毒的计算机等。

反病毒专家建议电脑用户采取以下措施预防该病毒：

1、建立良好的安全习惯，不打开可疑邮件和可疑网站；

2、很多病毒利用漏洞传播，一定要及时给系统打补丁；

3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；

4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

Opanki变种aq(Worm.Opanki.aq))


病毒特征：这是一个通过AOL即时通讯工具传播的蠕虫病毒。
　　发作症状：病毒先在系统中释放病毒文件到下列目录：%widnows%NITEAIM，增加特定键值到注册表项目中。同时，该病毒让目标主机自动连接到IRC服务器，接受黑客远程控制，执行任意破坏操作，给中毒用户带来严重的危害。

反病毒工程师建议：
　　1.　请您不要轻易运行从Internet下载后未经杀毒软件处理的文件，强烈建议您先用最新病毒库的毒霸进行扫描，然后决定是否运行。

　　2.　当操纵者控制用户电脑时，就可直接导致用户的信息被泄露， 为了您系统和个人信息的安全，专家建议用户在打开一个陌生文件时，请用最新病毒库的杀软进行扫描。

金山毒霸反病毒应急中心及时进行 了病毒库更新，升级毒霸到2006年12月10日的病毒库即可查杀以上病毒；如未安装金山毒霸，可登录 http://www.pcav.cn 免费下载最新版金山毒霸2007防止病毒入侵

注意Trojan/Agent.bgk“代理木马”变种bgk

病毒名称：Trojan/Agent.bgk
中 文 名：“代理木马”变种bgk
病毒长度：22788字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Agent.bgk“代理木马”变种bgk是一个利用网络共享进行传播的木马。“代理木马”变种bgk运行后，自我复制到系统目录下。修改注册表，实现开机自启。利用密码字典破解弱密码，自我复制到共享目录下，实现网络共享传播。终止与安全相关的进程和服务，降低被感染计算机上的安全设置。另外，“代理木马”变种bgk还感染本地计算机所有分区根目录下的.exe文件。

TrojanDownloader.Agent.fad“代理木马”变种fad

病毒名称：TrojanDownloader.Agent.fad
中 文 名：“代理木马”变种fad
病毒长度：42544字节
病毒类型：木马下载器
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003


TrojanDownloader.Agent.fad“代理木马”变种fad是一个未经授权远程访问用户计算机的木马下载器。“代理木马”变种fad运行后，在系统目录下创建大量病毒文件。以“vdn32”和“memlow”为名自我注册为服务。修改注册表，实现开机自启。开启TCP 16661端口和其它任意一个端口，侦听黑客指令，将被感染计算机上的用户密码文件复制。在已开启的窗口搜索与用户密码相关的字符串，一经发现便开始记录键击，盗取用户密码，并将盗取的机密信息发送到黑客指定的邮箱里。

分析威尔佐夫变种JA（Worm.Mail.Warezov.ja）

“威尔佐夫变种JA（Worm.Mail.Warezov.ja）”

病毒：警惕程度★★★☆

蠕虫病毒，通过电子邮件传播

依赖系统：WIN9X/NT/2000/XP。


该病毒会自动搜索用户计算机上多种格式的文件，从中提取电子邮件地址，并向这些地址发送病毒邮件。其他用户打开这些邮件的附件，就会被病毒感染。该病毒大量发送垃圾邮件会造成用户计算机速度减慢，网络带宽被严重占用，甚至会造成一些局域网络崩溃。
同时，该病毒还会自动通过ICQ软件向用户的好友发送内容为“my picture”、“check this”的消息，并附带一个下载地址。其他用户下载并打开这个文件就会被病毒感染。病毒下载地址的域名为：seruijingandeshijinpos.com，经瑞星信息安全专家对此域名进行跟踪显示，该域名注册者为Dima Li，所在位置为上海军工路219号。


电脑防毒之家建议电脑用户采取以下措施预防该病毒：1、个人用户不要随便打开陌生人发来的邮件，特别是邮件的附件。平时应开启杀毒软件的邮件监控功能防范此类病毒。2、不要轻易点击通过ICQ等即时通讯工具发来的链接，一定要先和对方核实再打开。3、企业用户应部署防毒墙，并安装网络版杀毒软件进行全网保护，防止此类病毒影响正常的网络应用。4、建议企业网络管理员屏蔽seruijingandeshijinpos.com域名，个人用户也可以将其加入到瑞星个人防火墙2007的访问控制黑名单当中。

分析I-Worm.Bagle.c“百钩虫”变种c

病毒名称：I-Worm.Bagle.c
中 文 名：“百钩虫”变种c
病毒长度：可变
病毒类型：网络蠕虫
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003


I-Worm.Bagle.c“百钩虫”变种c是一个利用网络共享和群发带毒邮件进行传播的网络蠕虫。“百钩虫”变种c运行后，在系统目录下和Windows目录下创建病毒文件。修改注册表，实现开机自启。开启TCP 6777端口，终止各种杀毒软件运行，降低被感染计算机上的安全设置。从被感染的计算机上搜索有效邮箱地址，利用自带的SMTP群发带毒邮件。利用某些常见的软件名称自我复制到共享目录下，实现网络共享传播。另外，“百钩虫”变种c还可以自升级。

Trojan.PSW.QQPass.qxp（窃取用户的QQ号码及密码）

“QQ通行证变种QXP（Trojan.PSW.QQPass.qxp）”

病毒：警惕程度★★★☆

木马病毒，通过恶意网站传播

依赖系统：WIN9X/NT/2000/XP。


该病毒运行后会将自身复制到系统目录中，同时修改注册表启动项目，以实现随系统启动自动运行。病毒会在后台监视用户的输入，伺机窃取用户的QQ号码及密码，并发送给黑客。


电脑防毒之家建议电脑用户采取以下措施预防该病毒：反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。5、登陆tool.ikaka.com下载并安装免费的瑞星卡卡3.1，并开启“IE防漏墙”功能，防止病毒通过IE漏洞侵入计算机。

病毒名称：Ｗｏｒｍ_Ｓｕｒｒｏｕｎｄ．Ａ

国家计算机病毒应急处理中心１７日发布１８日至２４日一周内将要发作的计算机病毒如下：
病毒名称：Ｗｏｒｍ_Ｓｕｒｒｏｕｎｄ．Ａ

病毒类型：文件型蠕虫

发作日期：１２月２４日

危害程度：该蠕虫可以使微软公司的办公处理软件中的“宏病毒防护”功能失效，并且删除系统中的ｗｉｎ．ｃｏｍ文件，还会在计算机屏幕上显示以下信息：“Ｙｏｕ　ａｒｅ　ｎｏｗ　ｓｕｒｒｏｕｎｄｅｄ（你现在被包围了）”、“Ｖｉｒｕｓ　Ｉｎｆｏｒｍａｔｉｏｎ（病毒信息）”。

专家提醒，近期病毒疫情比较稳定，传播范围广、危害性大的病毒没有出现，但不可以因此轻视病毒防护的每一个环节，包括防病毒软件、防火墙、计算机系统安全漏洞补丁程序等的及时下载升级，特别是补丁程序这个环节。从以往的病毒发作情况来看，系统漏洞补丁程序已经成为病毒传播和入侵计算机系统的主要途径之一。

建议计算机用户针对自己的操作系统的情况，尽快下载安装已经发布的安全补丁程序，将这一病毒传播入侵的缺口堵住，保护好自己的系统。