6月8日病毒播报：警惕异常 ias系统服务

【赛迪网-IT技术报道】在今天的病毒中，“绑架犯”变种gd和“变异体”变种ble值得关注。

英文名称：Trojan/PSW.Bjlog.gd

中文名称：“绑架犯”变种gd

病毒长度：192512字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：680a0792c8705e9ad2d938136e00e42f

特征描述：

Trojan/PSW.Bjlog.gd“绑架犯”变种gd是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“绑架犯”变种gd运行后，会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意文件“khckxyowxp.log”，然后会将其移动到“%programfiles%\\Google\\”下，重新命名为“whewr.lnk”。

“绑架犯”变种gd运行时，会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与控制端（IP地址为：219.132.*.160:150）进行连接，一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，“绑架犯”变种gd会在被感染计算机中注册名为“ias”的系统服务，以此实现开机自动运行。

英文名称：TrojanDownloader.Geral.ble

中文名称：“变异体”变种ble

病毒长度：40220字节

病毒类型：木马下载器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：18f2e358f9eb8b158d5a73ac61bd2d1c

特征描述：

TrojanDownloader.Geral.ble“变异体”变种ble是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种ble运行后，会修改系统服务“IPSEC Policy Agent”的属性。在“%programfiles%\\Len0v0\\”文件夹下释放恶意DLL文件“One.dll”，在“%programfiles%\\Len0v0\\”和“%SystemRoot%\\system32\\drivers\\”文件夹下分别释放恶意驱动程序“CBA.sys”。在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现进程“avp.exe”、“ekrn.exe”、“360tray.exe”、“zhudongfangyu.exe”存在，“变异体”变种ble便会尝试将其强行关闭，以此达到自我保护的目的。

“变异体”变种ble会在被感染系统的后台连接骇客指定的站点，下载恶意程序“bs6485046.exe”到“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，从而给用户造成了不同程度的威胁。