「泡泡」變種ao躲避防火牆監控篡改註冊表

【賽迪網-IT技術報道】江民今日(7月31日)提醒您注意：在今天的病毒中Trojan/PSW.Agent.geh「代理木馬」變種geh和Backdoor/Popwin.ao「泡泡」變種ao值得關注。

病毒名稱：Trojan/PSW.Agent.geh

中 文 名：「代理木馬」變種geh

病毒長度：27104字節

病毒類型：木馬

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Agent.geh「代理木馬」變種geh是「代理木馬」木馬家族的最新成員之一，採用Delphi編寫，並經過添加保護殼處理。「代理木馬」變種geh運行後，自我複製到被感染計算機「%SystemRoot%/MayaBaby/」目錄下，重命名為「MayaBabyMain.exe」。自我註冊為系統服務，實現木馬開機自動運行。在「%SystemRoot%/MayaBaby/」目錄下釋放木馬組件「MayaBabyDll.dat」和惡意驅動程序「MayaBabySYS.dat」。將病毒代碼注入到系統進程「smss.exe」中運行，隱藏自我，防止被查殺。加載釋放出來的惡意驅動程序來恢復系統SSDT，致使部分安全軟體的監控失效。查找並強行關閉大量流行的安全軟體，致使用戶計算機系統毫無安全保障。在被感染計算機的後台連接駭客指定站點，下載大量的惡意程序並在被感染計算機上自動運行。所下載的惡意程序可能包含網游木馬、惡意廣告程序、後門等，給用戶帶來不同程度的損失。

病毒名稱：Backdoor/Popwin.ao

中 文 名：「泡泡」變種ao

病毒長度：208384字節

病毒類型：後門

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Backdoor/Popwin.ao「泡泡」變種ao是「泡泡」後門家族的最新成員之一，採用高級語言編寫，並經過添加保護殼處理，是由某病毒釋放出來的DLL組件，一般被註冊為瀏覽器輔助插件（BHO），隨系統瀏覽器的啟動而自動加載運行。「泡泡」變種ao運行於「iexplore.exe」進程內，隱藏自我，防止被查殺。強行篡改IE瀏覽器默認首頁設置，增加某網站的訪問量、提升alexa排名。強行篡改註冊表相關鍵值，致使「文件夾選項」中的「顯示隱藏文件」功能失效。在後台竊取被感染計算機系統的配置信息（MAC地址、操作系統版本、用戶名、PC名等），並將竊取到的信息發送到駭客指定的遠程伺服器站點上。躲避某些防火牆的監控，查找並強行關閉某些安全軟體，大大降低被感染計算機上的安全性。另外，「泡泡」變種ao還可以自升級。

針對以上病毒，建議廣大電腦用戶：

1、請立即升級江民殺毒軟體，開啟新一代智能分級高速殺毒引擎及各項監控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。

2、江民KV網絡版的用戶請及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒，保證企業信息安全。

3、江民殺毒軟體採用窗口保護以及進程保護技術，避免病毒關閉殺毒軟體進程，確保殺毒軟體自身安全，更好地保護用戶計算機的安全。

4、江民殺毒軟體的虛擬機脫殼技術，針對目前主流殼病毒進行虛擬脫殼處理，有效清除「殼病毒」。

(