7月31日病毒播报：木马强行关闭杀毒软件

在今天的病毒中“埃卡”变种cg和“埃德罗”变种jpf值得关注。

英文名称：TrojanDropper.Ekafod.cg

中文名称：“埃卡”变种cg

病毒长度：81920字节

病毒类型：木马释放器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：7efe8d23093ad1116a6c4f8eaf857a1f

特征描述：

TrojanDropper.Ekafod.cg“埃卡”变种cg是“埃卡”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“埃卡”变种cg运行后，会在被感染系统的“%SystemRoot%\\system32\\”和“%SystemRoot%\\system32\\dllcache\\”文件夹下分别释放恶意DLL组件“zoce6.dll”，在被感染系统的“%SystemRoot%\\system32\\”文件夹下释放恶意DLL组件“zoceo.dll”和恶意程序“ddsxso.exe”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“埃卡”变种cg会在后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，便会尝试将其强行关闭，以此达到自我保护的目的。秘密连接骇客指定的站点“221.194.*.33”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“埃卡”变种cg完全远程控制被感染的计算机系统，从而给用户的信息安全、个人隐私甚至是商业机密造成无法挽回的损失。

英文名称：TrojanDownloader.Adload.jpf

中文名称：“埃德罗”变种jpf

病毒长度：520192字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：c47cdf374b0e53001120b89f572943f2

特征描述：

TrojanDownloader.Adload.jpf“埃德罗”变种jpf是“埃德罗”家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“埃德罗”变种jpf运行后，会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\h8nil4o8\\”文件夹下释放恶意DLL组件“b.dll”、“p.dll”以及恶意程序“z.lz”、“s.exe”，在“%SystemRoot%\\system32\\”文件夹下释放“ec2o.dll”、“cbbd.exe”，还会在“%SystemRoot%\\”文件夹下释放“e5cd.exe”和“de5d.flv”。“埃德罗”变种jpf运行时，会在被感染系统的后台连接骇客指定的远程站点“hxxp://343.bo*ans.com”，读取配置文件“BJ.y”，然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。