7月23日病毒播报：木马藏身文件内存空间

在今天的病毒中“视频宝宝”变种pms和“通犯”变种etq值得关注。

英文名称：TrojanDropper.VB.pms

中文名称：“视频宝宝”变种pms

病毒长度：37376字节

病毒类型：木马释放器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：c04c3be1ff00c200427f714a42e91bdd

特征描述：

TrojanDropper.VB.pms“视频宝宝”变种pms是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种pms运行后，会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放临时文件“F7.tmp”，之后会将其复制到“%SystemRoot%\\system32\\”文件夹下，重新命名为“thxr.wgo”（“thxr.wgo”是一个恶意DLL组件，其会通过修改注册表的方式随系统启动而加载运行）。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“视频宝宝”变种pms运行时，会在被感染系统的后台连接骇客指定的远程站点“hxxp://hulej*ops.ru/”。该站点设有网马页面，如果被感染系统存在相关的漏洞，则会下载大量的恶意程序并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的风险。另外，“视频宝宝”变种pms会通过篡改被感染系统注册表中现有启动项的方式实现开机自动运行。

英文名称：Trojan/Generic.etq

中文名称：“通犯”变种etq

病毒长度：65536字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：62a2c8aec96d9212f7368e92b5d221fd

特征描述：

Trojan/Generic.etq“通犯”变种etq是“通犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“通犯”变种etq运行后，会自我复制到被感染系统的“%SystemRoot%\\system32\\”文件夹下，重新命名为“ysik.exe”并调用运行。其会将恶意代码注入到“ysik.exe”的内存空间中隐秘运行，并不断尝试与控制端（IP地址：219.145.*.82:1900）进行连接。如果连接成功，被感染的计算机便会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，“通犯”变种etq会在被感染计算机中注册名为“ttf”的系统服务，以此实现木马的开机自启。