病毒预警：网络红娘变种插入了大量垃圾指令

    “网络红娘变种364544”（Win32.Hack.RedGirl.m.364544），这是远程控制木马“网络红娘”的变种。它为了逃避杀毒软件的查杀，插入了大量垃圾指令，同时，将图标伪装为常见的安装文件图标。病毒被激活后，还会先打开一张图片，再去执行病毒代码。

    “脚本下载器4156”（JS.Agent.ds.4156），这是一个脚本下载器程序。它会连接到指定的地址，下载其它病毒到用户电脑中运行，同时还会上传用户电脑的系统数据。

    一、“网络红娘变种364544”（Win32.Hack.RedGirl.m.364544） 威胁级别：★★

    这个远程木马由来已久，但变种不断都有出现，而且新变种在对抗安全软件方面的能力，越来越强。

    该毒在进入用户电脑后，是无法自动运行起来的，它必须由用户点击运行。为欺骗用户点击，它把自己伪装为一个安装文件图标，如果用户运行了它，它就弹出一张美女图片复制自身文件mywlhn.exe到系统盘%WINDOWS%\system32\目录中，并由该文件释放出另一个文件mywlhn.dat。

    接着，它新建线程监视系统内金山毒霸、卡巴斯基、瑞星、微点等杀毒软件，入发现它们试图弹出警告窗口，就抢先模拟鼠标按键消息，点选放行选项，并将自己的病毒文件添加为“可信”。光是这样，病毒仍不放心，它下一步干脆直接关闭这些杀毒软件的进程。

    在对付杀软的同时，病毒修改注册表实现自动启动，然后利用IE浏览器创建远程线程，加载之前生成的mywlhn.dat，用它来连接黑客指定的远程服务器，接收监控端命令，达到控制中毒电脑的目的。

    “脚本下载器415”（JS.Agent.ds.4156） 威胁级别：★

    这个下载器程序是个脚本文件，它能够很方便的利用网页挂马进行传播。

    病毒进入用户电脑后的运行不复杂，它会在系统盘%WINDOWS%\TEMP\目录下释放出文件oka0999.tmp，然后就修改注册表中的安全模块，让系统无法发出异常警告。

    接着，病毒就运行起来。它连接到病毒作者指定的远程地址，上传用户电脑的系统信息，比如IP地址、系统版本等。并下载其它的一些病毒文件到用户电脑里执行。

    此外，该毒有防止重复运行的功能，每当它成功入侵一台电脑，就会创建一个互斥体，防止自己的其它副本在此台电脑中重复运行，引起崩溃。

    金山反病毒工程师建议

    1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

    2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。