金山反病毒应急中心本周进行升级包的更新，请用户尽快到金山毒霸网站duba.net 下载升级包，以下是几个重要病毒的简介：

　　一. 本周热门病毒：

　　广外男生 Hack.gwboy.118272 ★★★ 传播方式：文件 网络

　　远程控制及网络监控的木马,除了具备普通木马的功能外还有自己的新特色：

　　1.病毒利用dll插入线程寄生到Windows系统进程(如explorer)中，本身没有单独进程。

　　2.复制自身到system32目录下，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加自己。

　　复制寄生到进程的一个DLL到system32目录下，随机写入注册表，位置不固定，重启之后随系统进程启动自身。

　　3.打开系统后门，主动连接客户端，客户端对被控制的机器有很高的权限。

　　病毒运行后，主控端就就具有了客户端的高级权限，进行一切可破坏的活动，例如：删除、更改、添加文件等，甚至可以格式化硬盘，具有极高的危害性，金山毒霸提醒大家注意防范，不要随便点击陌生的文件或链接，尽快升级您的杀毒软件。

　　二. 本周重点关注病毒：

　　灰鸽子木马 trojan.huigezi.434381 ★★★ 传播方式：文件 网络

　　这是一个Huigezi的变种，和广外男生一样也是以线程方式寄生到常用系统进程当中隐蔽自己。

　　病毒运行后，会进行以下动作：

　　1.拷贝自身到系统目录，命名为SVCH0ST.EXE。释放文件WINSOCKS.DLL，将其映射到系统程序explorer中，并在其中创建新的线程。病毒就寄生在系统的资源管理器中

　　2.创建一个文件DELETEME.BAT来删除自己和临时文件。

　　3.修改一下注册表键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RAVMOND

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\RAVMOND

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\RAVMOND

　　以便系统重启后病毒仍能启动。

　　HKEY_CURRENT_USER\exefile\shell\open\command\

　　修改exe文件打开方式以便运行病毒。

　　4.监听UDP 1027 端口，打开系统后门，等待连接。

　　同样的具有木马的一切性能，因为其能隐蔽自己，也就具有了更大的破坏性，提醒用户提高警惕，具有很高的防范心理。

　　冰河牛族 Hack.glacierniu.391707 ★★ 传播方式：网络 文件

　　木马的服务端程序，是对冰河木马的一种改进，基本上具有冰河的功能，并有了创新，所以，也不得不加以防范。被运行后会：

　　1.修改注册表:

　　通过以下修改txt文件打开关联一启动病毒:HKEY_CLASSES_ROOT\txtfile\shell\open\command下的"C:\WINDOWS\NOTEPAD.EXE %1"为"C:\WINDOWS\SYSTEM\Sysexplr.exe %1"；HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的"C:\WINDOWS\NOTEPAD.EXE %1"为"C:\WINDOWS\SYSTEM\Sysexplr.exe %1"

　　通过以下修改在重启动时加载：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加"C:\WINDOWS\SYSTEM\Kernel32.exe"；HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下添加"C:\WINDOWS\SYSTEM\Kernel32.exe"。

　　2.复制自身为两个一样的文件(391707byte,属性为隐藏只读)到：C:\WINDOWS\SYSTEM\Kernel32.exe；C:\WINDOWS\SYSTEM\Sysexplr.exe

　　3.打开系统后门，等待连接。

　　如发现可疑文件，请email至:virus@kingsoft.net

　　数据修复急救，请email至:sos@kingsoft.net