8月5日病毒播报：蠕虫开启诸多系统服务

在今天的病毒中“视贼”变种ak和“匪寇”变种ap值得关注。

英文名称：Worm/Qvod.ak

中文名称：“视贼”变种ak

病毒长度：94539字节

病毒类型：蠕虫

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：2e8ef2bd48d1b590591b587828d7a8c5

特征描述：

Worm/Qvod.ak“视贼”变种ak为“视贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“视贼”变种ak运行后，会在被感染系统的“%SystemRoot%\\system32\\”文件夹下释放恶意文件“6to4.dll”和“pchsvc.dll”。篡改系统服务所对应的DLL文件，并且会尝试开启以下系统服务：“AppMgmt”，“AudioSrv”，“Browser”，“BITS”，“CryptSvc”，“DMServer”，“DHCP”，“ERSvc”，“EventSystem”，
“FastUserSwitchingCompatibility”，“HidServ”，“Ias”，“Iprip”，“Rasauto”，“Rasman”，“Remoteaccess”，“Schedule”，“Seclogon”，
“SENS”，“Shatedaccess”，“Tapisrv”，“Themes”，“TrkWks”，“W32Time”，“WZCSVC”，“Wmi”，“WmdmPmSp”，“6to4”，从而利用启动系统服务的方式实现恶意代码的执行。另外，其还会在“%SystemRoot%\\system32\\drivers\\”文件夹下释放恶意驱动程序“4E82603A.sys”。在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“视贼”变种ak便会尝试将其强行关闭。利用注册表映像劫持特性，干扰大量安全软件的运行，以此达到自我保护的目的。该蠕虫在运行时会占用大量的系统资源，从而极大地影响了系统用户对电脑的正常操作。另外，其会在网络中进行自我传播，不仅浪费了网络资源，同时还会给更多的计算机系统造成威胁。

英文名称：Trojan/Oficla.ap

中文名称：“匪寇”变种ap

病毒长度：59904字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：aa34cb93417bdba6e8fa5f31264e6ce8

特征描述：

Trojan/Oficla.ap“匪寇”变种ap是“匪寇”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“匪寇”变种ap运行后，会在被感染系统的“%SystemRoot%\\system32\\”文件夹下释放恶意DLL组件“thxr.wgo”，在“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放“167.tmp”。秘密连接骇客指定的站点，侦听骇客指令，从而在被感染的计算机上执行相应的恶意操作。骇客可通过“匪寇”变种ap完全远程控制被感染的计算机系统，致使用户的个人隐私面临着严重的威胁。另外，“匪寇”变种ap会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。