特征描述：

Trojan/Mepaow.c"冒牌貨"變種c是"冒牌貨"木馬家族中的最新成員之一，采用"Borland Delphi 6.0 – 7.0"編寫(xiě)，經(jīng)過(guò)加殼保護(hù)處理。"冒牌貨"變種c運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"HelpMe.exe"，文件屬性設(shè)置為"系統(tǒng)、隱藏"。替換系統(tǒng)文件"C:WINDOWSsystem32
otepad.exe"、"C:Program FilesInternet Exploreriexplore.exe"和"C:Program FilesOutlook Expressmsimn.exe"，并將原系統(tǒng)文件寫(xiě)入病毒文件的尾部。如果反復(fù)運(yùn)行"冒牌貨"變種c，這三個(gè)文件會(huì)被反復(fù)寫(xiě)入，從而導(dǎo)致文件增大。用戶在使用"記事本"、"IE瀏覽器"和"Outlook Express"時(shí)，都將激活"冒牌貨"變種c。"冒牌貨"變種c還會(huì)遍歷各分區(qū)中的一些系統(tǒng)文件，并進(jìn)行上述的替換行為。在被感染系統(tǒng)的所有分區(qū)根目錄下創(chuàng)建"autorun.inf"（自動(dòng)播放配置文件）和木馬主程序文件"autorun.exe"，以此實(shí)現(xiàn)雙擊盤(pán)符后激活木馬，從而達(dá)到了利用U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行自我傳播的目的，給計(jì)算機(jī)用戶造成了更多的威脅。另外，"冒牌貨"變種c會(huì)修改被感染系統(tǒng)的注冊(cè)表，致使"顯示隱藏文件"功能失效，同時(shí)實(shí)現(xiàn)開(kāi)機(jī)后自動(dòng)運(yùn)行。
英文名稱(chēng)：Worm/Allaple.cbh
中文名稱(chēng)："阿拉婆"變種cbh
病毒長(zhǎng)度：79360字節(jié)
病毒類(lèi)型：蠕蟲(chóng)
危險(xiǎn)級(jí)別：★★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：6549f4c40bd24d4bf60ca45225c9f756

特征描述：

Worm/Allaple.cbh"阿拉婆"變種cbh是"阿拉婆"家族中的最新成員之一，采用高級(jí)語(yǔ)言編寫(xiě)，經(jīng)過(guò)加殼保護(hù)處理。"阿拉婆"變種cbh運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"urdvxc.exe"。將惡意代碼注入到"explorer.exe"、"winlogon.exe"等系統(tǒng)進(jìn)程的內(nèi)存空間中隱秘運(yùn)行，防止自身被輕易地發(fā)現(xiàn)。連接駭客指定的IP地址"218.93.*.30:65520"，進(jìn)行被感染計(jì)算機(jī)信息的反饋或接受駭客的攻擊指令等。"阿拉婆"變種cbh會(huì)對(duì)隨機(jī)的IP段進(jìn)行139端口的探測(cè)，并利用可能存在的漏洞進(jìn)行入侵。另外，"阿拉婆"變種cbh會(huì)通過(guò)修改注冊(cè)表啟動(dòng)項(xiàng)或注冊(cè)系統(tǒng)服務(wù)的方式實(shí)現(xiàn)開(kāi)機(jī)自啟。

針對(duì)以上病毒，江民反病毒中心建議廣大電腦用戶：

1、請(qǐng)立即升級(jí)江民殺毒軟件，開(kāi)啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計(jì)算機(jī)。

2、江民KV網(wǎng)絡(luò)版的用戶請(qǐng)及時(shí)升級(jí)控制中心，并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒，保證企業(yè)信息安全。

3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)，能夠?qū)Ω鞣N主流殼以及疑難的"花指令殼"、"生僻殼"病毒進(jìn)行脫殼掃描，有效清除"殼病毒"。

4、開(kāi)啟江民殺毒軟件的系統(tǒng)監(jiān)控功能，該功能可對(duì)病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)、處理，有效地遏制
了未知病毒對(duì)系統(tǒng)所造成的干擾和破壞，更大程度的提高了計(jì)算機(jī)對(duì)于未知病毒的防范能力。

5、江民防馬墻，能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁(yè)，可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫(kù)，阻止了網(wǎng)頁(yè)木馬的傳播，有效地保障了用戶的上網(wǎng)安全。

6、全面開(kāi)啟BOOTSCAN功能，在系統(tǒng)啟動(dòng)前殺毒，清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。

7、江民殺毒軟件新增強(qiáng)大的啟發(fā)式掃描，能夠啟發(fā)掃描90％以上的未知病毒。

8、盡量不要以雙擊盤(pán)符的方式訪問(wèn)硬盤(pán)或移動(dòng)存儲(chǔ)設(shè)備的分區(qū)，而是通過(guò)資源管理器中左側(cè)的"樹(shù)形目錄"或在地址欄中輸入盤(pán)符的方式進(jìn)行訪問(wèn)，從而避免計(jì)算機(jī)病毒利用
系統(tǒng)自動(dòng)運(yùn)行特性進(jìn)行感染和傳播。

9、江民針對(duì)感染Delphi編譯環(huán)境和應(yīng)用程序的"Delphi侵蝕者"病毒推出了專(zhuān)殺工具，請(qǐng)廣大Delphi開(kāi)發(fā)人員和網(wǎng)民立即下載并對(duì)系統(tǒng)進(jìn)行掃描，從而避免成為病毒傳播的源
頭以及被該病毒所感染。下載地址：http://filedown.jiangmin.com/download/JMInducKiller.exe

10、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證。免費(fèi)在線查毒地址：http://online.jiangmin.com/

有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢，或訪問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。

zhabin