6月9日病毒播报：启动文件夹里奇怪的IE

【赛迪网-IT技术报道】在今天的病毒中，“霸族”变种hkf和“视频宝宝”变种cbv值得关注。

英文名称：Trojan/Buzus.hkf

中文名称：“霸族”变种hkf

病毒长度：97792字节

病毒类型：木马-

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：8f9e922e6fffcb1b9f58e72f25f684df

特征描述：

Trojan/Buzus.hkf“霸族”变种hkf是“霸族”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“霸族”变种hkf运行后，会在被感染系统的“%USERPROFILE%”文件夹下释放经过加壳保护的恶意驱动程序“lmiwn.drv”并在后台调用运行。其还会自我复制到被感染系统的“%programfiles%\\Common Files\\”文件夹下，重新命名为“SafeDrv.exe”（文件属性设置为“隐藏”）。释放完毕后，原病毒程序会将自身删除，以此消除痕迹。

“霸族”变种hkf会在被感染系统的系统盘根目录下创建“autorun.inf”，以此实现双击系统盘符后激活指定恶意文件的目的。收集被感染计算机的相关信息，然后发送到指定站点“hxxp://www.t*qvod.com/ax/Count.asp”，致使系统用户的隐私信息泄露。遍历当前系统中运行的所有进程，一旦发现某些安全软件存在，便会尝试将其结束，从而导致系统失去安全软件的保护。另外，“霸族”变种hkf会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

英文名称：TrojanClicker/VB.cbv

中文名称：“视频宝宝”变种cbv

病毒长度：71503字节

病毒类型：木马释放器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：1582e4c45c7eff84604664a62cd9efad

特征描述：

TrojanClicker/VB.cbv“视频宝宝”变种cbv是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种cbv运行后，会在被感染系统的“%SystemRoot%\\system32\\”文件夹下释放恶意程序“devesnumber.dll”、“cdrun.exe”和“Process.exe”，还会在系统盘根目录、“%programfiles%”文件夹、“%ALLUSERSPROFILE%\\「开始」菜单\\程序\\启动\\”文件夹下释放Internet快捷方式“Internat Explorer.url”。

“视频宝宝”变种cbv会强行篡改被感染系统IE浏览器的默认主页为骇客指定站点“hxxp://hao.mei*ngie.com/?0001”，致使用户在打开IE浏览器后便会自动连接至该站点。“视频宝宝”变种cbv还会在桌面上创建一个假冒的IE快捷方式，其主页也会被设置成相同站点，从而给骇客带来了非法的经济利益。