最新病毒播報：警惕“AV殺手”變種et

英文名稱：Trojan/Antavmu.cbu

中文名稱：“偽程序”變種cbu

病毒長度：32844字節

病毒類型：木馬

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：ad3e572a874a0a57f88ba48b829e9f37

特征描述：

Trojan/Antavmu.cbu“偽程序”變種cbu是“偽程序”家族中的最新成員之一，采用“Microsoft Visual Basic 5.0 / 6.0”編寫，經過加殼保護處理。“偽程序”變種cbu運行後，會執行命令“cacls.exe %SystemRoot%\system32\cmd.exe /e /t /g everyone:F”來賦予所有用戶對cmd.exe的控制權限。將被感染系統“%programfiles%\360safe\safemon\”文件夾下的DLL組件“safemon.dll”重命名為“safemes.dll”，將“%programfiles%\Rising\AntiSpyware\”文件夾下的DLL組件“ieprot.dll”重命名為“iepret.dll”。刪除“%SystemRoot%\system32\”文件夾下的舊版本病毒文件“ttjj34.ini”、“SoundMan.exe”、“zozz.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe”。還會強行關閉服務“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“Norton AntiVirus Server”。創建進程快照，如果發現名為“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”的進程，“偽程序”變種cbu則會試圖強行結束該進程。其會在被感染計算機系統的“%SystemRoot%\”文件夾下釋放惡意程序“BarClientServer.exe”，在“%SystemRoot%\system32\”文件夾下釋放“inertno.exe”，並將以上文件屬性設置為“系統、隱藏”。在“%SystemRoot%\system32\”文件夾下釋放配置文件“ttjj34.ini”。在被感染系統的後台連接駭客指定的站點“www.caif*678.cn:81/rc/xms/”，獲取惡意程序下載列表，下載指定的惡意程序並自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制後門或惡意廣告程序(流氓軟件)等，致使用戶面臨更多的威脅。在被感染系統中新建名為“new1”、密碼為“12369”的用戶，為駭客留下後門，致使被感染系統可被不法分子遠程登錄、控制，進而淪為攻擊跳板或肉雞。“偽程序”變種cbu在被感染系統中安裝完畢後，會創建批處理文件“2.bat”並在後台調用執行，以此將自身刪除。另外，其會通過修改已有服務“helpsvc”的方式實現自動運行。

英文名稱：Trojan/PSW.Taworm.ayi

中文名稱：“毒它蟲”變種ayi

病毒長度：102297字節

病毒類型：盜號木馬

危險級別：★

影響平台：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：2531aeb50badef721d4ee127fbebd3dc

特征描述：

Trojan/PSW.Taworm.ayi“毒它蟲”變種ayi是“毒它蟲”家族中的最新成員之一，采用高級語言編寫，經過加殼保護處理。“毒它蟲”變種ayi運行後，會自我復制到被感染系統的“%SystemRoot%\system32\”文件夾下，重新命名為“yyrug.exe”。將惡意代碼插入到“explorer.exe”進程中隱秘運行，在後台執行惡意操作，以此隱藏自我，防止被輕易地查殺。其會在被感染系統的後台連接駭客指定的站點“www.liu*88.com/twtmw/”，下載惡意程序並自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制後門或惡意廣告程序(流氓軟件)等，致使用戶面臨更多的威脅。其還會連接駭客指定的網站“www.ha*06.com”，並訪問指定的掛馬頁面，從而給用戶造成了更多的安全隱患。“毒它蟲”變種ayi是一個專門盜取網絡游戲會員賬號的木馬程序，其會在被感染系統的後台秘密監視系統所運行程序的窗口標題，一旦發現指定程序啟動，便會利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息，並在後台將竊得的信息發送到駭客指定的站點上(地址加密存放)，致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。另外，“毒它蟲”變種ayi會在被感染系統注冊表啟動項中添加鍵值，以此實現自動運行。

英文名稱：TrojanDownloader.Injecter.apm

中文名稱：“木馬注入器”變種apm

病毒長度：42520字節

病毒類型：木馬下載器

危險級別：★

影響平台：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：e0d171cdc61826d98e60cb8b27f60aa1

特征描述：

TrojanDownloader.Injecter.apm“木馬注入器”變種apm是“木馬注入器”家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫。“木馬注入器”變種apm運行後，會將自身代碼注入到地址00400000處。在被感染系統盤的“\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\”和“\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\”文件夾下釋放惡意文件“vcleaner.exe”和“syitm.exe”。在“%SystemRoot%\”文件夾下釋放惡意文件“ghdrive32.exe”。“木馬注入器”變種apm是一個後門程序，其會利用IRC協議(互聯網中繼聊天)與服務器“123.183.*.32:7196”建立連接，並與服務器進行命令交互，從而達到遠程控制的目的。“木馬注入器”變種apm可根據服務器發送的指令，以FTP和HTTP的方式下載惡意程序。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制後門或惡意廣告程序(流氓軟件)等，會給用戶造成不同程度的威脅。其還會執行對指定IP發動DDos攻擊、向MSN聯系人發送包含惡意程序的壓縮包文件等操作，從而造成了更大的破壞和侵害。後台遍歷當前系統正在運行的所有進程，如果發現某些指定的安全軟件存在，“木馬注入器”變種apm便會嘗試將其強行關閉，從而達到自我保護的目的。還會在被感染系統的後台連接駭客指定的站點“195.14.*.146”，下載惡意程序“new1.exe”並自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制後門或惡意廣告程序(流氓軟件)等，致使用戶面臨更多的威脅。另外，“木馬注入器”變種apm會在被感染系統注冊表啟動項中添加鍵值，以此實現自動運行。

英文名稱：TrojanDownloader.FlyStudio.beu

中文名稱：“蒼蠅賊”變種beu

病毒長度：1445542字節

病毒類型：木馬下載器

危險級別：★

影響平台：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：3499100f238b89c8354fe9eb7b3a2b17

特征描述：

TrojanDownloader.FlyStudio.beu“蒼蠅賊”變種beu是“蒼蠅賊”家族中的最新成員之一，采用高級語言編寫，經過加殼保護處理。“蒼蠅賊”變種beu運行後，會在被感染系統的“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夾下釋放由易語言編寫的組件“dp1.fne ”、“krnln.fnr”、“shell.fne”、“RegEx.fnr”、“cnvpe.fne”、“eAPI.fne”等，並復制到“%SystemRoot%\system32\5A8DCC\”下。自我復制到“%SystemRoot%\system32\ACF7EF\”文件夾下，重新命名為“74BE16.EXE”。創建2個空文件夾“0F6226”和“76682F”，用於記錄指定數據。“蒼蠅賊