5月27日病毒播报：入侵者变种冒充系统文件

【赛迪网-IT技术报道】在今天的病毒中，“通犯”变种bqh和“入侵者”变种c值得关注。

英文名称：Trojan/Generic.bqh

中文名称：“通犯”变种bqh

病毒长度：31232字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：52d7a13e56b4179c179a302e33939682

特征描述：

Trojan/Generic.bqh“通犯”变种bqh是“通犯”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“通犯”变种bqh运行后，会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意程序“sysd.exe”，在“%SystemRoot%\\system32\\GroupPolicy\\User\\Scripts\\”文件夹下释放“winlogo.exe”、“autorun.bat”，还会在“%SystemRoot%\\system32\\GroupPolicy\\”文件夹下释放配置文件“gpt.ini”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“通犯”变种bqh会在被感染系统的后台连接骇客指定的远程站点“hxxp://lm.t*7r.cn:1024/k12/x459a.asp?ttl=4471168&v=MDkwOTA1&s=MDAwQzI5RDQ2OEE0"”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“通犯”变种bqh会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

英文名称：Trojan/Invader.c

中文名称：“入侵者”变种c

病毒长度：1402073字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：3490d738a00b9ec3617544eb5f551dc5

特征描述：

Trojan/Invader.c“入侵者”变种c是“入侵者”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“入侵者”变种c运行后，会将自身代码注入到“winlogon.exe”进程中隐秘运行。自我复制到被感染系统的“%SystemRoot%\\system32\\ACF7EF\\”文件夹下，重新命名为“74BE16.EXE”。将“%SystemRoot%\\”文件夹下的系统文件“explorer.exe”移动到“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下，重新命名为“er.exe”。在“%SystemRoot%\\system32\\dllcache\\”文件夹下释放假冒的系统文件“explorer.exe”，之后将其复制到“%SystemRoot%\\”文件夹下，从而实现了替换系统文件的目的。“入侵者”变种c会在“%SystemRoot%\\system32\\5A8DCC\\”文件夹下释放大量的恶意程序，从而给被感染系统造成不同程度的威胁。另外，其会在开始菜单“启动”文件夹下创建名为“74BE16.lnk”的快捷方式，以此实现开机自动运行。