6月10日病毒播报：木马针对瑞星和360

在今天的病毒中，“埃德罗”变种jfv和“苍蝇贼”变种bde值得关注。

英文名称：TrojanDownloader.Adload.jfv

中文名称：“埃德罗”变种jfv

病毒长度：73728字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：ce1f4011405a97925d7b06a2d51ffcc4

特征描述：

TrojanDownloader.Adload.jfv“埃德罗”变种jfv是“埃德罗”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“埃德罗”变种jfv运行后，会在被感染系统的“%SystemRoot%\\system32\\”和“%SystemRoot%\\system32\\dllcache\\”文件夹下分别释放恶意DLL组件“hzflo.dll”，还会在被感染系统的“%SystemRoot%\\system32\\”文件夹下释放恶意程序“dddxeco.exe”和恶意DLL组件“gddd77.dll”、“hzfl4.dll”。释放完成后，原病毒程序会释放批处理文件并调用运行，以此消除痕迹。

“埃德罗”变种jfv会遍历当前系统中运行的所有进程，一旦发现“ravmond.exe”和“360tray.exe”的存在，便会尝试将其结束，致使被感染系统失去安全软件的保护。其还会篡改系统注册表，破坏“隐藏文件和文件夹”的选项。

“埃德罗”变种jfv运行时，会在被感染系统的后台连接骇客指定的站点“hxxp://www.niu*dou.com/web/download/”，下载恶意程序“OneClickRun.dll”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

另外，“埃德罗”变种jfv会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

英文名称：TrojanDropper.Flystud.bde

中文名称：“苍蝇贼”变种bde

病毒长度：1404462字节

病毒类型：木马释放器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：31b6cf3e9001477ffffb659bf26530db

特征描述：

TrojanDropper.Flystud.bde“苍蝇贼”变种bde是“苍蝇贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“苍蝇贼”变种bde运行后，会自我复制到被感染系统的“%SystemRoot%\\system32\\ACF7EF\\”文件夹下，重新命名为“74BE16.EXE”。其还会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\E_N4\\”和“%SystemRoot%\\system32\\5A8DCC\\”文件夹下分别释放由易语言编写的恶意程序“cnvpe.fne”、“spec.fne”、“shell.fne”、“dp1.fne”、“internet.fne”、“eAPI.fne”、“RegEx.fnr”、“HtmlView.fne”、“krnln.fnr”。这些程序可能是网络游戏盗号木马、远程控制后门或恶意广告程序等，致使用户面临更多威胁。

另外，其会在开始菜单“启动”文件夹下添加名为“74BE16.lnk”的快捷方式以（指向木马程序“74BE16.EXE”），以此实现开机自启。