江民8月15日病毒播报：小心“焦点间谍”变种

　　江民今日提醒您注意：在今天的病毒中TrojanSpy.Pophot.ajj“焦点间谍”变种ajj和Trojan/Multis.d“魔笛斯”变种d值得关注。

　　病毒名称：TrojanSpy.Pophot.ajj
　　中 文 名：“焦点间谍”变种ajj
　　病毒长度：29696字节
　　病毒类型：间谍类木马
　　危害等级：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanSpy.Pophot.ajj“焦点间谍”变种ajj是“焦点间谍”木马家族的最新成员之一，采用Delphi编写。“焦点间谍”变种ajj是由某木马程序释放出来的DLL木马组件，一般被注入到“EXPLORER.EXE”进程中加载运行，以此隐藏病毒程序，躲避安全软件的查杀。“焦点间谍”变种ajj运行后，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。在后台秘密监视被感染计算机上的窗口标题，一旦发现与安全相关的窗口弹出便立刻强行将其关闭，大大地降低了被感染计算机的安全性。在后台连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行，给用户带来一定程度的危害。另外，“焦点间谍”变种ajj还可能会在各个盘符根目录下创建“autorun.inf”文件和木马程序文件，以实现双击盘符运行病毒的目的。

　　病毒名称：Trojan/Multis.d
　　中 文 名：“魔笛斯”变种d
　　病毒长度：8832字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Multis.d“魔笛斯”变种d是“魔笛斯”木马家族的最新成员之一，采用高级语言编写。“魔笛斯”变种d是由某木马程序释放出来的驱动文件，采用高级ROOTKIT技术编写而成，一般被注册为设备驱动，以实现木马程序开机自动运行。“魔笛斯”变种d运行后，恢复系统SSDT，致使某些安全软件的主动防御功能失效。通过HOOK SSDT以及HOOK IRP来隐藏病毒进程、病毒文件和病毒在注册表中的启动项，防止自身以及木马主程序被安全软件所查杀。其中，一些关键性的数据信息在木马驱动程序文件体内是加密存放的，一旦用户计算机系统感染该病毒，则很难清除干净。