5月30日病毒播报：注意不明原因弹出对话框

【赛迪网-IT技术报道】在今天的病毒中，“视频宝宝”变种pfp和“搬运贼”变种fv值得关注。

英文名称：TrojanDropper.VB.pfp

中文名称：“视频宝宝”变种pfp

病毒长度：254008字节

病毒类型：木马释放器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：2e54a4d65763dcc9b2d85869e7245d4c

特征描述：

TrojanDropper.VB.pfp“视频宝宝”变种pfp是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“视频宝宝”变种pfp的图标会被设置成“media player classic”的样式，以此诱骗用户点击运行。“视频宝宝”变种pfp运行后，会将“IEXPLORE.EXE”复制到“%programfiles%\\Internet Explorer\\SIGNUP\\”文件夹下，还会在“%SystemRoot%\\”文件夹下释放图标文件“Game.Ico”、“movie.Ico”、“taobao2.Ico ”和恶意程序“win_32.exe”。“视频宝宝”变种pfp会在IE收藏夹和桌面上创建大量的Internet快捷方式，从而诱导用户进行访问，给骇客带来了非法的经济利益。文件释放完成后，“视频宝宝”变种pfp会弹出对话框“出错了，系统不支持此程序，安装失败，请退出安装！”。另外，“视频宝宝”变种pfp会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：TrojanDownloader.Apher.fv

中文名称：“搬运贼”变种fv

病毒长度：16896字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：058a716c90232e5e1ac645767945ed85

特征描述：

TrojanDownloader.Apher.fv“搬运贼”变种fv是“搬运贼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“搬运贼”变种fv运行后，会自我复制到被感染系统的“%SystemRoot%\\system32\\”文件夹下，重新命名为“jvssv.exe”。“搬运贼”变种fv运行时，会在被感染系统的后台秘密窃取当前的系统配置信息，然后连接指定的站点“61.164.*.23”，下载其它恶意程序并调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“搬运贼”变种fv会注册名为“Windows Help File”的系统服务，以此实现开机后自动运行。