8月17日病毒播报：腾讯QQ指向陌生文件

在今天的病毒中，“变异体”变种buh和“黑孔”变种hg值得关注。

英文名称：TrojanDownloader.Geral.buh

中文名称：“变异体”变种buh

病毒长度：37750字节

病毒类型：木马下载器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：c982502ad574d71bd1275730415fca14

特征描述：

TrojanDownloader.Geral.buh“变异体”变种buh是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种buh运行后，首先会将自身复制到“%SystemRoot%\\system32\\”文件夹下，重新命名为“kav.exe”。在被感染系统的“%programfiles%\\RAV\\”文件夹下释放恶意DLL组件“CCTest.dll”，在“%programfiles%\\RAV\\”和“%SystemRoot%\\system32\\drivers\\”文件夹下释放恶意驱动程序“CCTest.sys”和“pcidump.sys”，在系统盘根目录下创建名为“RECYCLER”的隐藏文件夹，并在其中创建恶意程序“ITss.exe”，还会在系统盘根目录和“%programfiles%\\WindowsUpdate\\”下分别创建“psaip.dll”和“bugreport.exe”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“变异体”变种buh便会尝试将其强行关闭，从而达到自我保护的目的。删除桌面上的IE快捷方式，然后创建指向“hxxp://www.dh*06.com/?72”的假冒IE快捷方式，从而增加了该网站的访问量。另外，其还会在桌面上创建指向广告站点的垃圾快捷方式。在被感染系统的后台连接骇客指定的远程站点“221.13.*.165”和“60.173.*.7”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会在开始菜单“启动”文件夹下添加名为“腾讯QQ.lnk”的快捷方式（指向恶意程序“bugreport.exe”），以此实现开机自启。

英文名称：Backdoor/Blackhole.hg

中文名称：“黑孔”变种hg

病毒长度：484352字节

病毒类型：后门

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：be00da3283431c23f943bbbba5c61ba9

特征描述：

Backdoor/Blackhole.hg“黑孔”变种hg是“黑孔”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“黑孔”变种hg运行后，会自我复制到被感染计算机系统的“%SystemRoot%\\system32\\”文件夹下，重新命名为“SVCHOST.EXE”。同时，还会在相同文件夹下释放配置文件“bat_Server.dat”。“黑孔”变种hg运行时，会秘密连接骇客指定的服务器，侦听攻击者的指令，进而在被感染计算机上执行相应的恶意操作。骇客可通过“黑孔”变种hg完全远程控制被感染的计算机系统，不仅使得用户的信息安全和个人隐私面临着严重的威胁，甚至还会对商业机密造成不同程度的侵害。另外，“黑孔”变种hg会在被感染计算机中注册名为“bat_Services”的系统服务，以此实现后门的开机自启。