间谍软件不再是“狼来了”　警惕“蒙面客”偷取admin888

网络安全软件和服务领域的世界领导者----趋势科技（纳斯达克代码：TMIC；东京证交所代码：4704）昨晚(5月11日)发布中度风险病毒警报，“蒙面客”病毒WORM_WURMARK.J

　　这个是一个可以常驻内存的蠕虫，利用电子邮件进行传播。用户感染了该病毒后的典型症状就是不断地向外发送病毒邮件，更糟糕的是这个病毒具有击键记录功能，导致泄漏用户的隐私。大家一直觉得离自己还比较远的间谍软件这这回不再是“狼来了”，而是真的偷偷潜入你的电脑窃取击键记录，从而破解你的密码信息！“蒙面客”目前正在法国、印度，新加坡和中国台湾地区传播中。其实，趋势科技早在2003年就已经洞察了这一趋势，并已经陆续推出了反间谍软件解决方案。如个人版的PC-cillin2005, 企业客户端的OfficeScan7.0都具备完善的反间谍功能。

　　趋势科技全球防毒研发暨技术支持中心 TrendLabs 分析指出， 除了间谍功能，病毒作者在附件的文件名上下了一番功夫，附件使用的文件名如：女孩们、爱情、音乐、照片、屏保等等，后面紧跟着一个假的doc,jpg,txt等扩展名，而在精心设计的多个空格后才是真的scr可执行文件扩展名。例如：“message.txt .scr”，如果用户不仔细看，会误认为是“message.txt”，一个纯文本文件，从而放松了警惕，掉入病毒的圈套。

　　如何终止恶意程序？

　　这个步骤中终止正在内存中运行的恶意程序进程。

　　1.打开windows任务管理器。
　　在windows95/98/ME系统中, 按CTRL ALT DELETE在 Windows NT/2000/XP 系统中, 按CTRL SHIFT ESC, 然后点击进程选项卡。
　　2.在运行程序列表中，找到先前检测到的恶意文件。
　　3.选择恶意程序进程，然后点击结束任务或结束进程按钮（取决于windows的版本）。
　　4.按照上述步骤终止运行程序列表中的其他恶意文件。
　　5.为了检查恶意程序是否被终止，关掉任务管理器，然后再打开。
　　6.关掉任务管理器。

　　*注意: 在运行windows95/98/ME的系统中，任务管理器可能不会显示某一进程。可以使用其他进程查看器(例如：Process Explorer)来终止恶意程序进程。否则，继续进行下面的步骤，注意附加说明。

　　如何删除注册表中的自启动项目 ？

　　从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
　　1.打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter
　　2.在左边的面板中，双击:　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　　3.在右边的面板中，找到并删除项目数据值为先前检测到的病毒路径和文件名。
　　4.关闭注册表编辑器
　　注意：如果不能按照上述步骤终止在内存中运行的恶意进程，请重启系统。

　　附加Windows ME/XP清除说明
　　运行Windows ME和XP的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。
　　运行其他Windows版本的用户可以不需要处理上面的附加说明。

　　趋势科技企业用户：

　　请趋势科技用户将病毒码升级到2.624，TSC升级至596。

　　病毒码下载地址：
　　http://www.trendmicro.com/cn/support/updates/pattern/overview.htm

　　TSC工具下载地址：

　　ftp://ftp.trendmicro.com.cn/Support/Public/清毒工具/通用工具/TSC/ DCT3.9_1120_P596.zip
　　
　　个人用户

　　通过趋势科技免费在线扫毒（HouseCall）确认自己是否中毒
　　http://www.trendmicro.com/cn/products/desktop/housecall/evaluate/overview.htm
　　
　　并通过在线下载PC-cillin2005试用版，对该病毒进行防护：
　　http://www.trendmicro.com/download/zh-cn/product.asp?productid=32
　　
　　相关网站：
　　趋势科技: http://www.trendmicro.com.cn/