谨防“舞客”木马“av杀手”让电脑成傀儡

　　今日提醒您注意：在今天的病毒中Backdoor/Wuca.be“舞客”变种be和Trojan/KillAV.btk“AV杀手”变种btk值得关注。

　　英文名称：Backdoor/Wuca.be

　　中文名称：“舞客”变种be

　　病毒长度：33480字节

　　病毒类型：后门

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：5b274098e03a516c4c11eb047952c69a

　　特征描述：

　　Backdoor/Wuca.be“舞客”变种be是“舞客”后门家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“舞客”变种be运行后，会自我复制到被感染计算机系统的“%SystemRoot%\Fonts\”目录下，重新命名为“alg.exe”，然后自我删除，以此消除痕迹。同时，还会在“%SystemRoot%\Tasks\”目录下释放恶意程序“explorer.exe”。“舞客”变种be会连接骇客指定的配置文件“http://cav.q*.cx/p.jpg”，然后根据其中的设置，篡改IE浏览器主页为“http://luck114.v*.cx/”，并且以指定次数及间隔时间弹出IE广告窗口，以此推广网站“http://msm.moneyinfo*.com”。“舞客”变种be还会查找当前系统中即时聊天软件的对话窗口，并向这些窗口发送消息“大 美 女http://kemeiji*.net/daohang/gg.gif”。该消息中的链接并非图片文件，而是一个挂马网页。用户的好友如果点击了该链接，便可能因为系统中存在漏洞而面临被远程控制的威胁。“舞客”变种be还会向被感染用户的即时聊天好友发送木马程序“http://kal.sar*.tk/h/a.gif”，以及下载并执行其它的恶意程序，从而给被感染系统用户和其他人造成更多侵害。另外，“舞客”变种be会通过在被感染系统注册表启动项中添加键值“360safe”的方式实现开机自动运行。

　　英文名称：Trojan/KillAV.btk

　　中文名称：“AV杀手”变种btk

　　病毒长度：159907字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：70102c31c098118e1e723e4fc9f0b896

　　特征描述：

　　Trojan/KillAV.btk“AV杀手”变种btk是“AV杀手”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“AV杀手”变种btk运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“NETSVCS_0x*Ex.dll”，文件属性设置为“隐藏”。遍历当前系统中所有正在运行的进程，一旦发现指定的安全软件存在，便会尝试将其结束。同时还会试图删除这些安全软件的核心组件，以此达到了自我保护的目的。其释放的DLL文件在运行后，会不断尝试与骇客指定的远程服务器页面“http://117.18.*.18/connected.asp”进行连接，以此提交用户计算机的基本信息，同时获取控制端地址。尝试与控制端进行连接，一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作，从而给用户的个人隐私甚至是商业机密造成不同程度的侵害。另外，“AV杀手”变种btk会在被感染计算机中注册名为“NETSVCS_0x*”的系统服务(服务名称显示为“Microsoft Help Center”)，以此实现木马的开机自启。