8月24日病毒播报：“友好客户”让电脑变傀儡

在今天的病毒里，“友好客户”变种aigg和“埃卡”变种du值得关注。

英文名称：Backdoor/PcClient.aigg

中文名称：“友好客户”变种aigg

病毒长度：110080字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：2659dbf2c9b07c6e06b302105f8e1090

特征描述：

Backdoor/PcClient.aigg“友好客户”变种aigg是“友好客户”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“友好客户”变种aigg运行后，会在被感染系统的“%SystemRoot%\\system32\\”文件夹下释放恶意DLL组件“f02986734k.cmd”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“友好客户”变种aigg属于反向连接后门，其会在被感染系统的后台连接骇客指定的远程站点“86*58.3322.org”，获取客户端的真实IP地址，然后侦听客户端发送的指令，从而达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动（例如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可以窃取、修改或删除系统中存放的文件等，从而对用户的信息安全、个人隐私甚至是商业机密构成了严重的威胁。感染了“友好客户”变种aigg的系统还会成为傀儡主机，利用这些傀儡主机骇客可对指定的站点发起DDoS攻击、洪水攻击等。另外，“友好客户”变种aigg会在被感染计算机中注册名为“F02986734K”的系统服务，以此实现开机自动运行。

英文名称：TrojanDropper.Ekafod.du

中文名称：“埃卡”变种du

病毒长度：61440字节

病毒类型：木马释放器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：835a15c93613130a6ff6678c3cc24421

特征描述：

TrojanDropper.Ekafod.du“埃卡”变种du是“埃卡”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“埃卡”变种du运行时，会在当前桌面上创建假冒的IE浏览器快捷方式。通过这个快捷方式启动的IE浏览器会自动访问骇客指定的站点“hxxp://www.dh*18.com/?88”，从而增加了该站点的访问量，给骇客带来了非法的经济利益。其还会将IE浏览器的默认主页篡改为“hxxp://www.dh*18.com/?88”，致使用户在开启浏览器后会自动访问该站点。查找被感染系统中是否安装有“搜狗”、“遨游”、“腾讯tt”、“火狐”、“世界之窗”、“opera”等浏览器，如果安装了这些浏览器，其也会将这些浏览器的主页设置为上述站点。在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“埃卡”变种du便会尝试将其强行关闭，以此达到了自我保护的目的。另外，“埃卡”变种du的主程序在被感染系统中运行完毕后，会通过创建批处理文件（“375561O570.bat”）并调用运行的方式将自身删除，从而达到消除痕迹的目的。