特征描述：

Worm/AutoRun.lsk"U盤寄生蟲"變種lsk是"U盤寄生蟲"家族中的最新成員之一，采用"Borland Delphi 6.0 – 7.0"編寫。該蠕蟲有時(shí)是一個(gè)被感染的可執(zhí)行文件，運(yùn)行后
會(huì)在被感染計(jì)算機(jī)的"%SystemRoot%system32drivers"目錄下釋放惡意驅(qū)動(dòng)程序"!360Protect.sys"。"U盤寄生蟲"變種lsk通常會(huì)將自身圖標(biāo)偽裝成"Windows默認(rèn)文件夾
"樣式，以此誘騙用戶點(diǎn)擊運(yùn)行。其運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%"文件夾下，重新命名為"tsay.exe"和"ttry.exe"。將自身復(fù)制到除系統(tǒng)分區(qū)以外所
有分區(qū)的根目錄下，將分區(qū)下已存在的文件夾隱藏，并且以這些文件夾的名稱命名，以此蒙蔽用戶進(jìn)行點(diǎn)擊。"U盤寄生蟲"變種lsk還會(huì)強(qiáng)行篡改注冊(cè)表，致使系統(tǒng)中的"顯示系
統(tǒng)隱藏文件"功能失效、".EXE"文件的擴(kuò)展名被隱藏。其還會(huì)通過(guò)安裝消息鉤子的方式，監(jiān)視用戶計(jì)算機(jī)的狀態(tài)，對(duì)用戶的鼠標(biāo)、鍵盤操作以及當(dāng)前系統(tǒng)中的窗口執(zhí)行惡意行為
。另外，"U盤寄生蟲"變種lsk會(huì)通過(guò)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值"msfsa"的方式實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行。

英文名稱：Backdoor/Tofsee.i
中文名稱："泄密者"變種i
病毒長(zhǎng)度：28672字節(jié)
病毒類型：后門
危險(xiǎn)級(jí)別：★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：43f494b740e5a882f327770d74636ecd

特征描述：

Backdoor/Tofsee.i"泄密者"變種i是"泄密者"后門家族中的最新成員之一，采用高級(jí)語(yǔ)言編寫，并且經(jīng)過(guò)加殼保護(hù)處理。"泄密者"變種i運(yùn)行后，會(huì)自我復(fù)制到被感染計(jì)
算機(jī)系統(tǒng)的"%USERPROFILE%"文件夾下，重新命名為"*.exe"（隨機(jī)文件名），文件屬性設(shè)置為"隱藏"。其會(huì)通過(guò)修改注冊(cè)表"userinit"鍵值的方式設(shè)置自身為開機(jī)自啟。
另外，其還會(huì)將自身復(fù)制到"%SystemRoot%system32"文件夾下，重新命名為"*.exe"，并將其添加到注冊(cè)表啟動(dòng)項(xiàng)中，鍵名與文件名相同。"泄密者"變種i運(yùn)行時(shí)，會(huì)大肆
修改IE瀏覽器的相關(guān)注冊(cè)表鍵值，關(guān)閉相關(guān)的提示、警告、及警示圖標(biāo)，降低了IE瀏覽器的安全級(jí)別，給用戶上網(wǎng)帶來(lái)非常大的安全威脅。將自身添加到Windows防火墻的"例外"
列表中，從而使自身的網(wǎng)絡(luò)通信不受防火墻的監(jiān)視。搜索注冊(cè)表中指定項(xiàng)目的鍵值信息，獲取敏感數(shù)據(jù)并通過(guò)郵件發(fā)送給攻擊者，如果不存在指定的注冊(cè)表項(xiàng)則會(huì)自行退出運(yùn)行，
給用戶的隱私造成了不同程度的侵害。

針對(duì)以上病毒，江民反病毒中心建議廣大電腦用戶：

1、請(qǐng)立即升級(jí)江民殺毒軟件，開啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計(jì)算機(jī)。

2、江民KV網(wǎng)絡(luò)版的用戶請(qǐng)及時(shí)升級(jí)控制中心，并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒，保證企業(yè)信息安全。

3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)，能夠?qū)Ω鞣N主流殼以及疑難的"花指令殼"、"生僻殼"病毒進(jìn)行脫殼掃描，有效清除"殼病毒"。

4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能，該功能可對(duì)病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)、處理，有效地遏制
了未知病毒對(duì)系統(tǒng)所造成的干擾和破壞，更大程度的提高了計(jì)算機(jī)對(duì)于未知病毒的防范能力。

5、江民防馬墻，能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁(yè)，可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫(kù)，阻止了網(wǎng)頁(yè)木馬的傳播，有效地保障了用戶的上網(wǎng)安全。

6、全面開啟BOOTSCAN功能，在系統(tǒng)啟動(dòng)前殺毒，清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。

7、江民殺毒軟件新增強(qiáng)大的啟發(fā)式掃描，能夠啟發(fā)掃描90％以上的未知病毒。

8、盡量不要以雙擊盤符的方式訪問(wèn)硬盤或移動(dòng)存儲(chǔ)設(shè)備的分區(qū)，而是通過(guò)資源管理器中左側(cè)的"樹形目錄"或在地址欄中輸入盤符的方式進(jìn)行訪問(wèn)，從而避免計(jì)算機(jī)病毒利用
系統(tǒng)自動(dòng)運(yùn)行特性進(jìn)行感染和傳播。

9、江民針對(duì)感染Delphi編譯環(huán)境和應(yīng)用程序的"Delphi侵蝕者"病毒推出了專殺工具，請(qǐng)廣大Delphi開發(fā)人員和網(wǎng)民立即下載并對(duì)系統(tǒng)進(jìn)行掃描，從而避免成為病毒傳播的源
頭以及被該病毒所感染。下載地址：http://filedown.jiangmin.com/download/JMInducKiller.exe

10、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證。免費(fèi)在線查毒地址：http://online.jiangmin.com/

有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢，或訪問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。

zhabin