新馬通緝令：“紅心大盜”圖片木馬
　　殺毒軟件測試：
　　瑞星(病毒庫更新 2008.04.20):未檢測出木馬,，監(jiān)控系統(tǒng)被劫持,。
　　卡巴斯基(病毒庫更新 2008.04.20):監(jiān)控系統(tǒng)被劫持，但木馬在內(nèi)存中運(yùn)行時(shí)有提示，并刪除了未加密的副本probell.exe文件,。
　　McAfee(病毒庫更新 super data5260):木馬運(yùn)行時(shí)候被查殺,，但監(jiān)控系統(tǒng)被劫持需重新啟動恢復(fù)。
　　江民(病毒庫更新 2008.04.20):木馬運(yùn)行時(shí)未被刪除但木馬無法正常運(yùn)行,，監(jiān)控系統(tǒng)正常（木馬劫持列表中無江民）,。
　　
　　犯罪紀(jì)錄：很多人都愛用紅心作為QQ頭像，“紅心大盜”就是在這期間發(fā)布的一款圖片木馬,。木馬利用紅心國旗圖加載木馬在網(wǎng)頁上傳播,，危害范圍非常廣大。
　　
　　木馬分析：當(dāng)用戶拷貝紅心國旗圖時(shí),，木馬隨之隱藏運(yùn)行,，并釋放一個DLL程序植入到EXPLORER.EXE中，木馬會破壞常見的安全軟件的監(jiān)控程序,，大大降低被感染電腦的安全性,。木馬在后臺秘密記錄用戶的鍵盤操作和鼠標(biāo)操作，竊取用戶輸入的機(jī)密信息,，并發(fā)送給黑客,。與黑客指定的服務(wù)器建立網(wǎng)絡(luò)連接，被感染的計(jì)算機(jī)被黑客遠(yuǎn)程完全控制,。黑客可在被感染的計(jì)算機(jī)上進(jìn)行任意文件操作,、進(jìn)程操作、注冊表操作,、服務(wù)操作,、屏幕監(jiān)控、攝像頭抓圖,、命令操作等,，給用戶的安全、個人隱私,，甚至商業(yè)機(jī)密造成嚴(yán)重威脅,。木馬能迅速查找電腦中是否安裝有安全軟件，并對它們進(jìn)行映像劫持,。在病毒的劫持列表中有金山毒霸,、卡巴斯基、360安全衛(wèi)士,、QQ醫(yī)生,、瑞星、諾頓等大部分常見安全軟件,，一旦被劫持,，這些安全軟件就無法運(yùn)行了,。
　　木馬主體：木馬運(yùn)行后自身復(fù)制到被感染計(jì)算機(jī)系統(tǒng)時(shí)會將病毒文件_uninsep.bat、pro.exe和pro.dll釋放到系統(tǒng)盤的根目錄下,，同時(shí)替換了kernel32.dll文件,，并在系統(tǒng)盤的“%Documents and Settings%\All Users\「開始」菜單\程序\啟動\”文件夾下生成病毒主文件的副本probell.exe（未加密代碼），木馬利用8088端口自動連接黑客服務(wù)器,。它還修改系統(tǒng)注冊表,，創(chuàng)建名為“Scager”的系統(tǒng)服務(wù)，實(shí)現(xiàn)開機(jī)自啟動,。該木馬具有自我刪除功能,，當(dāng)它運(yùn)行結(jié)束后，將代碼刪除,，只剩一個正常圖片,。
　　
　　解決方案：
　　1.利用天網(wǎng)防火墻過濾8088端口訪問外網(wǎng)。
　　2.在安全模式下刪除probell.exe,、pro.exe和pro.dll文件,。
　　3.利用“Windows故障恢復(fù)控制臺”從安裝盤提取一個新的Kernel32.dll文件：
　　用Windows XP安裝光盤啟動電腦，按“R”鍵進(jìn)入啟動故障恢復(fù)平臺,，使用以下命令修復(fù)(F盤為光驅(qū)目錄,，根據(jù)實(shí)際情況指定)：
　　cd system32
　　ren kernel32.dll kernel32.dl
　　expand F:\i386\kernel32.dl_
　　exit
　　4.清理“%Documents and Settings%\All Users\「開始」菜單\程序\啟動\” 所有內(nèi)容。
　　5.Windows XP下,，點(diǎn)擊“開始→運(yùn)行”,，輸入“msconfig”，停止Scager服務(wù),。