江民1.14病毒播报：驻邮虫和通犯变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中I-Worm/Joleee.az“驻邮虫”变种az和Trojan/Generic.k“通犯”变种k值得关注，英文名称：I-Worm/Joleee.az中文名称：“驻邮虫”变种az病毒长度：43520字节病毒类型：蠕虫危险级别：★★影响平台：Win 9X/ME/NT/2000/XP/20

江民今日提醒您注意：在今天的病毒中I-Worm/Joleee.az“驻邮虫”变种az和Trojan/Generic.k“通犯”变种k值得关注。

英文名称：I-Worm/Joleee.az
　　中文名称：“驻邮虫”变种az
　　病毒长度：43520字节
　　病毒类型：蠕虫
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

I-Worm/Joleee.az“驻邮虫”变种az是“驻邮虫”蠕虫家族中的最新成员之一，采用高级语言编写。“驻邮虫”变种az运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，重新命名为“services.exe”。关闭Windows安全中心和Windows防火墙服务，通过强行篡改注册表相关键值的方式将上述服务设为“禁用”，并将蠕虫自身添加到防火墙允许的程序列表中。释放并重新组合恶意代码到指定内存区域，从而实现隐蔽运行，防止被轻易地发现和查杀。该恶意代码执行后，会在被感染计算机系统后台秘密连接骇客指定的服务器URL“http://*.51.*.137/spm/s_alive.php?id=&tick=&ver=&smtp=ok”，读取加密地址，获取配置文件，其中存有大量随机的邮箱地址。在被感染计算机上搜索有效的邮箱账户，并通过搜索到的账户向随机的邮箱地址发送大量的带毒邮件，从而实现了利用邮件进行自我传播。同时，“驻邮虫”变种az在运行时会通过批处理文件不断地调用自身，这将导致“驻邮虫”变种az的进程被不断地创建，大大地消耗了系统资源，严重地影响了计算机用户对系统的正常操作与使用。“驻邮虫”变种az所释放的恶意代码在某些情况下还可能会生成病毒文件“mpcsvc.exe”，并通过创建注册表启动项来达到其开机的自动运行。另外，“驻邮虫”变种az会通过在系统注册表启动项中添加键值的方式来实现开机自启。

英文名称：Trojan/Generic.k
　　中文名称：“通犯”变种k
　　病毒长度：43457字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Generic.k“通犯”变种k是“通犯”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理，将自身图标伪装成“Windows Media Player”图标，诱骗用户点击运行。“通犯”变种k运行后，会强行篡改IE浏览器主页为“http://www.bi**mu.cn”，同时禁用“Internet 选项”功能，禁止用户修改IE首页设置。在桌面生成指向“http://www.ji***13.cn”和“http://www.**465.cn”的IE快捷方式，诱导用户进行点击，提升了这两个网站的访问量。同时还会在后台自动下载大量程序，未经用户同意便安装到计算机中，从而侵犯了被感染计算机用户的个人合法权益，为骇客谋取了非法利益。同时，这些程序还会通过弹出广告等方式干扰用户对计算机系统的正常使用，大大地侵占了系统资源，给用户造成了更多不同程度的影响。另外，“通犯”变种k还会尝试结束部分安全软件的进程，并连接骇客指定站点“http://www.59**dd.cn/”，进行木马的自升级和下载其它恶意程序并调用运行，从而导致被感染计算机用户遭受账号失窃、远程控制等不同类型的安全威胁。