江民反病毒专家提醒：注意“伪程序”变种

今天，江民反病毒中心截获了“伪程序”变种chl，“伪程序”变种chl运行完毕后，会创建批处理文件并在后台调用执行，以此达到消除痕迹的目的。另外，其会修改系统服务“helpsvc”，以此实现自动运行。

据江民反病毒专家介绍，“伪程序”变种chl是“伪程序”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“伪程序”变种chl运行后，会执行命令“cacls.exe %SystemRoot%system32cmd.exe /e /t /g everyone:F”来赋予所有用户对cmd.exe的控制权限。将“%programfiles%0safesafemonsafemon.dll”重命名为“safemes.dll”，将“%programfiles%RisingAntiSpywareieprot.dll”重命名为“iepret.dll”。删除“%SystemRoot%system32”文件夹下的旧版本病毒文件“ttjj33.ini”、“SoundMan.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe”，还会强行关闭服务“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“Norton AntiVirus Server”。创建进程快照，如果发现名为“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”的进程，“伪程序”变种chl则会试图强行结束该进程。其会在被感染系统的“%SystemRoot%”文件夹下释放恶意程序“BarClientServer.exe”，在“%SystemRoot%system32”文件夹下释放“inertno.exe”。在“%SystemRoot%system32”文件夹下释放配置文件“ttjj34.ini”。在被感染系统中新建名为“new1”、密码为“12369”的用户，为骇客留下后门，致使被感染系统可被不法分子远程登录、控制，进而沦为攻击跳板或肉鸡。

江民反病毒中心建议广大电脑用户，谨防此类病毒。并针对该病毒，江民已于第一时间更新病毒库，请广大用户及时升级查杀。

江民杀毒软件最新版下载地址http://filedown.jiangmin.com/KV2011/inst.exe（30天免费试用，KV2010用户无需卸载可直接覆盖安装）。或者可以使用江民免费在线查毒系统进行病毒检测：http://online.jiangmin.com/