江民今日提醒您注意：在今天的病毒中 Trojan/PSW.VShell.a "新网银大盗"

　　和Worm/Maslan.c“玛士兰”变种c值得关注。

　　病毒名称：Trojan/PSW.VShell.a

　　中 文 名："新网银大盗"

　　病毒长度：94208字节

　　病毒类型：木马

　　危害等级：★★★

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　Trojan/PSW.VShell.a "新网银大盗"将于2005年8月1日起发作，记录用户键盘输入，盗取工行个人网上银行的帐号密码，通过网页脚本把获得的非法信息提交给病毒作者。该病毒运行后，在系统目录下创建：kv2005.dll 病毒主功能模块和kvshell2005.dll 病毒启动模块，并利用regsvr32.exe注册kvshell2005.dll为BHO插件，这样kvshell2005.dll在Windows系统启动时会被自动加载，它负责调用病毒主要功能模块kv2005.dll。

　　kv2005.dll被加载后，建立互斥体“KvShell_2018”，设置窗口钩子函数。如果系统时间晚于2005年8月1日，病毒会查找包括IE在内的多种浏览器，一旦发现用户正在工行个人网上银行的登录界面，则开始记录用户的键盘输入。如果卡号长度为19个字符，并以“95588”开头时，病毒就将会记录下的卡号、密码和验证数字等信息加密后提交给http://bbs.******.com/，并且会试图结束多种国内杀毒软件的进程。病毒通过检测调试器、重写SetWindowsHookEx API函数等方法对自身进行保护。

　　病毒名称：Worm/Maslan.c

　　中 文 名：“玛士兰”变种c

　　病毒长度：变长

　　病毒类型：蠕虫

　　危害等级：★★

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　Worm/Maslan.c“玛士兰”变种c是一个通过群发带毒邮件进行传播的蠕虫程序，并可利用微软DCOM RPC漏洞进行传播。盗取用户密码信息。该蠕虫运行后，在系统目录下创建大量病毒程序文件，并将病毒主程序注入svchost.exe进程，导致svchost.exe进程异常（svchost.exe进程是系统进程，是动态连接库主机处理服务，用以启动多种系统服务，若用户从任务管理器中看到多个svchost.exe进程，不一定是中毒，也不要随意终止该进程）。该蠕虫修改注册表，实现开机自启。终止与安全防护相关程序的进程，降低用户计算机安全度。阻止任务管理器的正常运行。利用IRC通道开启后门，远程控制被感染用户计算机。监视用户IE浏览器，若在窗口中出现与“在线支付”“转账”相关的字符串，便开始记录键击，并将记录的信息发送到黑客指定站点。(人民网IT频道综合)