5月12日病毒播报：病毒恶意删除hosts文件

【赛迪网-IT技术报道】在今天的病毒中，“视频宝宝”变种nrb和“变异体”变种bfd值得关注。

英文名称：TrojanDropper.VB.nrb

中文名称：“视频宝宝”变种nrb

病毒长度：23460字节

病毒类型：木马释放器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：68e9cc21bb8404b434dc3268d2111fc9

特征描述：

TrojanDropper.VB.nrb“视频宝宝”变种nrb是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种nrb运行后，会在被感染系统“%SystemRoot%\\system32\\”文件夹下的“dsound.dll”文件中加入恶意代码。另外，还会在“%SystemRoot%\\system32\\”和“%SystemRoot%\\system32\\dllcache\\”文件夹下分别释放“d3de1_36.dll”、“d3de1_37.dll”、“dllms.exe”、“dsound.dll”、“ddraw.dll”、“dsound.dllcDXDj”这些恶意文件。“视频宝宝”变种nrb运行时，会在被感染系统的后台连接骇客指定的站点“stt.dsd*wewe.com”，获取恶意程序下载列表，然后下载其中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

英文名称：TrojanDownloader.Geral.bfd

中文名称：“变异体”变种bfd

病毒长度：977920字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：08231aa001474141f7bc425b8758b808

特征描述：

TrojanDownloader.Geral.bfd“变异体”变种bfd是“变异体”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种bfd运行后，会在被感染系统的“%SystemRoot%\\system32\\”文件夹下释放恶意DLL组件“secSYS.dll”和“SYS.dll”，在“%SystemRoot%\\”文件夹下释放“NtFile.exe”，并将以上文件的属性设置为“隐藏”。另外，还会在“%SystemRoot%\\system32\\drivers\\”文件夹下释放恶意驱动程序“pcidump.sys”，并且删除“%SystemRoot%\\system32\\drivers\\etc”文件夹下的hosts文件。“变异体”变种bfd运行时，会在被感染计算机系统的后台连接骇客指定的站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的威胁。另外，其会通过创建名为“IPRIP”的服务的方式实现开机自启。