8月23日病毒播报：木马建假回收站藏身

在今天的病毒中，“变异体”变种buy和“通犯”变种gxm值得关注。

英文名称：TrojanDownloader.Geral.buy

中文名称：“变异体”变种buy

病毒长度：42968字节

病毒类型：木马下载器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：14d996f8287358dd80dd798bc5fb26ab

特征描述：

TrojanDownloader.Geral.buy“变异体”变种buy是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种buy运行后，会首先将自身复制到“%SystemRoot%\\system32\\”文件夹下，重新命名为“kav.exe”。在“%SystemRoot%\\system32\\”文件夹下释放“jxgamepacik.pak”，在“%programfiles%\\KAV\\”文件夹下释放“TvPlus.dll”，在“%programfiles%\\KAV\\”文件夹和“%SystemRoot%\\system32\\drivers\\”文件夹下释放恶意驱动程序“TvPlus.sys”和“pcidump.sys”，还会在系统盘根目录下创建名为“RECYCLER”的隐藏文件夹，并在其中创建恶意程序“ITss.exe”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。后台遍历当前系统中运行的所有进程，一旦发现指定的安全软件存在，“变异体”变种buy便会尝试将其强行关闭，以此达到自我保护的目的。删除并创建假冒的IE快捷方式，通过该快捷方式启动的IE浏览器会自动访问骇客指定的站点“hxxp://www.dh*06.com/?72”，从而增加了相关站点的访问量，给骇客带来了非法的经济利益。另外，其还会在桌面上创建指向“hxxp://888.qq2*3.com/ ”的垃圾Internet快捷方式，从而诱骗用户进行访问。在被感染系统的后台连接骇客指定的远程站点“121.14.*.117”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“变异体”变种buy会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Trojan/Generic.gxm

中文名称：“通犯”变种gxm

病毒长度：153600字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：45dd6f60819308fa7f262a63e977de0b

特征描述：

Trojan/Generic.gxm“通犯”变种gxm是“通犯”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“通犯”变种gxm运行后，会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意批处理程序“~DA.bat”（属性设置为“隐藏”）并自动调用运行。还会在“%USERPROFILE%\\Application Data”文件夹下释放“ie.ICO”、“taobao.ico”、“Intrenet Explorer.lnk”、“889.reg”、“ruixing0513.exe”、“957.reg”。在桌面上创建指向“hxxp://www.ha*23.com.cn”的垃圾快捷方式，从而增加了指定站点的访问量，给骇客带来了非法的经济利益。另外，“通犯”变种gxm会定时弹出恶意广告页面，从而给被感染系统用户造成了不同程度的侵扰。其还会从骇客指定的站点下载恶意程序并自动调用运行，从而给用户造成了更多的威胁。