8月16日病毒播报：木马悄悄访问广告站点

在今天的病毒里，“爆发者”变种ut和“塞沃斯”变种ev值得关注。

英文名称：TrojanDownloader.BaoFa.ut

中文名称：“爆发者”变种ut

病毒长度：81408字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：96cefe95239336162139d5054c3786f6

特征描述：

TrojanDownloader.BaoFa.ut“爆发者”变种ut是“爆发者”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“爆发者”变种ut运行后，会自我复制到被感染系统的“%SystemRoot%\\system32\\GroupPolicy\\User\\Scripts\\Logon\\”文件夹下，重新命名为“winlogo.exe”。在被感染系统的“%SystemRoot%\\system32\\GroupPolicy\\User\\Scripts\\Logon\\”文件夹下释放恶意批处理程序“autorun.bat”，在“%SystemRoot%\\system32\\GroupPolicy\\”文件夹下创建配置文件“gpt.ini”，还会在“%SystemRoot%\\system32\\GroupPolicy\\User\\Scripts\\”文件夹下创建配置文件“scripts.ini”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“爆发者”变种ut运行时，会在被感染系统的后台定时访问指定的广告站点，从而提高其访问量（网络排名），给骇客带来了非法的经济利益。

英文名称：TrojanDownloader.Selvice.ev

中文名称：“塞沃斯”变种ev

病毒长度：28672字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：db73ecd7886eff90de66561cca753acf

特征描述：

TrojanDownloader.Selvice.ev“塞沃斯”变种ev是“塞沃斯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“塞沃斯”变种ev运行后，会在被感染系统的“%SystemRoot%\\system32\\”文件夹下释放经过加壳保护的恶意文件“lqtjdkx.exe”、恶意DLL组件“QKHe.dll”，还会在“%SystemRoot%\\system32\\drivers\\”文件夹下释放指定的恶意驱动程序“gglq.sys”。释放完成后，原病毒程序会创建批处理文件“kxmruc.bat”并调用运行，以此消除痕迹。“塞沃斯”变种ev运行时，会在被感染系统的后台连接骇客指定的远程站点“hxxp://wwv.36*50.cn/files/”，下载恶意程序“image.jpg”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。