“线上游戏窃取者变种RTU(Trojan.PSW.Win32.GameOL.rtu)”病毒：警惕程度★★★，盗号木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003

这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。

据金山毒霸反病毒专家预测，扫荡波蠕虫将在近段时间内引起大范围的攻击。因此提醒广大网民尤其是企业网管人员，采取一下措施进行查杀和预防：

　　1）建议用户安装金山毒霸并开启毒霸文件监控，下载的病毒已经可以查杀

　　2)提醒用户使用金山清理专家进行MS08-067(KB958644)补丁修复

　　3）如果打补丁过程中出现问题或还出现崩溃现象则可以使用手工解决方案：禁用IPC$空连接，避免病毒连接到用户系统上。方法如下：运行regedit，找到如下子键|HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA把RestrictAnonymous键值改为REG_DWORD：00000001

　　4）金山网镖中已经紧急增加了检测扫荡波攻击特征并拦截的功能，即使用户不打补丁，开启网镖也可以拦截此类攻击。但我们仍然强烈建议用户修复此漏洞。

金山毒霸日均超600万人订购

cctv报道

这是2007年的报道，大家注意，2008年的统计结果还未出来，2008的成就就更加的好啦，

金山毒霸2008的功能强大，这是大家都体会到，所以2008年的就快出来哈哈哈哈

金山软件（3888.HK）日前发布了2007年三季度未经审计的财务业绩公告（以下简称“财报”），这也是金山软件上市之后第二次发布季度财报。据财报显示：金山软件2007年第三季度总营收达到1.4696亿元，比去年同期增长122%%；净利润达到2997.4万元，比去年同期比较增长482%%，增势强劲。

“CPU型号欺骗器”（Win32.Troj.Profiteer.67.271360），此毒是11月16日发出预警的奸商修改器（Win32.troj.profiteer.271360）的一个独立模块。它能将电脑的CPU频率由1.4改为2.0，并使很多常见的检测软件失效，只能显示伪装过的信息。

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年11月19日的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.jinshanduba123.net.cn免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

当MS08-067漏洞被披露，微软发布更新之后，许多安全技术人员对此漏洞评估的结果表明——该漏洞极其严重，并且利用起来一点都不复杂。根据在互联网上公布的相关信息，多个攻击工具已经在互联网上传播，并且，确切的消息是，利用该漏洞批量抓鸡的工具已经在传播。

昨天有朋友告诉我说某人写的批鸡工具，一小时抓上千台肉鸡。请注意，利用这个漏洞抓肉鸡完全不需要收购流量，不需要在网页挂马。只需要拿个扫描器在互联网上找可能存在漏洞的机器，再尝试发攻击数据包就得手了。

谷歌律师MikeYang星期五称，这些数据没有新的隐私含义。

　　美国电子隐私信息中心承认，谷歌感冒趋势也许证明是有用的。但是，它提出了一个更微妙的理由。电子隐私信息中心执行理事MarcRotenberg说，我向谷歌提出的基本问题是它如何查到这些关键词的，你能在没有重新进行身份识别的风险的情况下生成这些匿名的数据吗？

　　换句话说，如果一个禁止大麻的州的检察官给谷歌发出传票，要求谷歌提供在搜索栏中输入“如何种大麻？”的人的数据，或者如果在某些禁止堕胎的州，如果执法部门发传票要求谷歌提供在搜索引擎中输入“如何堕胎？”的人的数据，谷歌会怎样做呢？

大小: 41.7MB
· 更新日期：2008.11.18　近期更新日志
· 系统需求: Windows 2000/XP/Vista(32位)
· 金山毒霸第三次获得VB100国际权威认证

大功能和技术亮点　　　　　　　　　　　　　　　　　
超大病毒库+智能主动防御+互联网可信认证 病毒库病毒样本数量增加5倍；7×24小时全天候主动实时升级 日最大病毒处理能力提高100倍；文件实时防毒 紧急病毒响应时间缩短到1小时以内；智能主动漏洞修复 采用快速漏洞补丁下载技术和漏洞数据自动收集技术；MSN 聊天加密功能 网页防挂马，嵌入式防毒，隐私保护；木马/黑客防火墙 邮件实时监控，垃圾邮件快捷过滤；智能主动漏洞修复 采用快速漏洞补丁下载技术和漏洞数据自动收集技术；彻底查杀木马/病毒 抢杀技术，首创流行病毒免疫器，定时杀毒 恶意行为主动拦截 金山网镖自动识别联网程序的安全性自保护能力提升 新的病毒收集客户端模块集成金山清理专家 在线系统诊断，集合系统修复工具系统安全增强计划 在线客服，虚拟上门服务，一对一安全诊断

过金山毒霸反病毒工程的反复测试，证实6日上午捕获的“扫荡波（Worm.SaodangBo.a.94208）”病毒实为一个新型蠕虫。这就意味着“扫荡波”的传播能力将超出之前的预测，影响范围将更广泛。目前，该病毒已经造成大量企业用户局域网瘫痪，数十万用户网络崩溃。

金山毒霸反病毒专家李铁军表示，“扫荡波”运行后遍历局域网的计算机并发起攻击，攻击成功后，被攻击的计算机会下载并执行一个下载者病毒，而下载者病毒还会下载“扫荡波”，同时再下载一批游戏盗号木马。被攻击的计算机中“扫荡波”而后再向其他计算机发起攻击，如此向互联网中蔓延开来。据了解，之前发现的蠕虫病毒一般通过自身传播，而扫荡波则通过下载器病毒进行下载传播，由于其已经具备了自传播特性，因此，被金山毒霸反病毒工程师确认为新型蠕虫。

据金山毒霸反病毒专家预测，扫荡波蠕虫将在近段时间内引起大范围的攻击。因此提醒广大网民尤其是企业网管人员，采取一下措施进行查杀和预防：

　　1）建议用户安装金山毒霸（http://www.jinshanduba123.net.cn/）并开启毒霸文件监控，下载的病毒已经可以查杀

　　2)提醒用户使用金山清理专家(http://www.jinshanduba123.net.cn/)进行MS08-067(KB958644)补丁修复

　　3）如果打补丁过程中出现问题或还出现崩溃现象则可以使用手工解决方案：禁用IPC$空连接，避免病毒连接到用户系统上。方法如下：运行regedit，找到如下子键|HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA把RestrictAnonymous键值改为REG_DWORD：00000001

　　4）金山网镖中已经紧急增加了检测扫荡波攻击特征并拦截的功能，即使用户不打补丁，开启网镖也可以拦截此类攻击。但我们仍然强烈建议用户修复此漏洞。

据金山毒霸反病毒工程师介绍，出现问题的笔记本有以下共性：　　1.系统的%WINDOWS%system32\目录中都存在smssa.exe和smssb.exe两个进程，将它们强制关闭后，cpu频率会明显降低。

　　2.利用Bios工具进行查看，cpu数据显示正常，但其版本日期都为05年11月7日。

　　3.在smssa.Exe和smssb.Exe进程运行状态下，通过cpu-z等检测工具检测出来的值    都为修改后的值，且cpu信息那栏不停的闪动。

　　4.大多数问题都出现在水货Thinkpad笔记本。

　　据了解，之前也曾出现过修改电脑配置数据的修改器，但大多数只是在装机初期进行安装，修改完后就会被删除。而此次发现的“奸商修改器”则是长期驻留在系统中，并且可以骗过大部分硬件配置查看工具的检查。因此，金山毒霸反病毒工程师认为它属于病毒木马的范畴，而不再仅仅是个普通的配置信息修改工具。

本周广大电子邮箱用户需高度警惕利用电子邮件传播的盗号木马“蒋干盗书117248”。该木马“偷盗”目标囊括了MSN邮箱、163邮箱、sina邮箱、tom邮箱、cityyouth邮箱、chinamail邮箱等常见邮箱，偷盗成功后，利用这些邮箱进行传播病毒，并连接远程地址，下载大量其他木马病毒。

李铁军分析指出，病毒母体运行后，会先释放子文件到系统临时目录temp中，然后执行文件。 当顺利运行起来，该病毒就建立监视，窥探用户在使用电子邮箱时输入的帐号密码。它的目标名单包括了MSN邮箱、163邮箱、sina邮箱、tom邮箱、cityyouth邮箱、chinamail邮箱等常见邮箱。当偷盗成功后，该病毒就会利用这些邮箱发送自己的副本，扩大传染范围。并连接远程地址，完成下载更多其他病毒到本地执行的最终目的。一旦感染此病毒，用户将面临无法估计的麻烦。

查看网络连接状态

    计算机的各项功能一般都是与其开放的服务相对应的。因此很多入侵者在进入电脑后会开放各种服务，由此可见检测当前系统正在运行的服务是很有必要的。

    在命令提示符下输入“net start”，这样即可看到系统提示“已经启动以下Windows服务”，然后从其列表中看是否不明服务在运行。如果有的话，可以继续键入“net start 服务名”来查看有关该服务更加详细的信息。确认是非法运行的服务，那么只需要运行“net stop server”命令在询问是否继续操作时按“Y”键进行确认。

查看服务运行状态

    很多入侵者在突破防线后，一般都会建立相应的账户，以方便下次继续侵入。对此，我们可以在命令提示符下输入“net user”，这样即可显示当前系统中已经创建的所有账户名称。如果发现不是自己创建的账户，那么则需要运行“net user 账户名称”来查看其拥有的权限，如果该用户属于Administrators等权限比较高的组的，那么可以确认该账户是黑客非法创建的，赶紧使用“net user 账户名称 /del”将其删除。

    一般来说，安全主要是针对连接在网络上的计算机而言的。单机用户的安全问题比较少。而于连接到网络上的计算机而言，最基本的就是对网络连接进行检测。因为不论是病毒，还是木马、黑客入侵等都是通过网络来连接的。

    在“运行”窗口中输入“CMD”并回车打开命令打提示符窗口，然后输入“netstat -an”，这样即可查看所有与本机建立的连接。其中Proto部分表示连接方式，Local address是本地连接地址和端口，而Foreign address则是对方的地址和端口，State是当前端口的状态。

    看懂了这些信息后，我们就可以判断是否有异常的连接，如果有的话则需要断开网络进行进一步的处理。