8月27日病毒播报：诱惑快捷方式实为导流量

在今天的病毒里，“斯塔格”变种ec和“苦马”变种c值得关注。

英文名称：Trojan/Staget.ec

中文名称：“斯塔格”变种ec

病毒长度：100735字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：3729a76520aeecd2d54fa5cdde2896ad

特征描述：

Trojan/Staget.ec“斯塔格”变种ec是“斯塔格”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“斯塔格”变种ec运行后，会在被感染系统的“%programefiles%\\ComPlus Applications\\1031\\”文件夹下释放恶意程序“takesoft.exe”，还会在该文件夹下释放大量的图标文件。“斯塔格”变种ec运行时，会定时弹出指向“hxxp://www.lu*wo.com/hao123/hao1.html”的广告页面，严重地干扰了用户对系统的正常操作。在桌面上创建垃圾Internet快捷方式“海量美女图库”、“结婚女性网”、“美女电影”、“淘宝一折促销”、“休闲小游戏 ”、“赚钱好项目”，以此诱导用户对指定站点进行访问，从而给骇客带来了非法的经济利益。“斯塔格”变种ec还会强行向“hosts”文件中添加大量与计算机安全相关站点的域名，从而利用域名映像劫持特性来屏蔽被感染系统用户对这些站点的访问，增加了自身的生存几率。

英文名称：Trojan/PSW.Kukudva.c

中文名称：“苦马”变种c

病毒长度：76557字节

病毒类型：盗号木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：537149daa9024d96137f07063439f0c6

特征描述：

Trojan/PSW.Kukudva.c“苦马”变种c是“苦马”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“苦马”变种c运行后，会在被感染系统的“%ALLUSERPROFILE%\\Documents\\My Music\\”文件夹下释放恶意程序“winsys.exe”，在“%programefiles%\\windows NT\\”文件夹下释放恶意程序“svstem.exe”，还会在“%programefiles%\\winnt\\”文件夹下分别释放恶意程序“winlogon.exe”、“smss.exe”。后台连接骇客指定的远程站点，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。其还会访问骇客指定的URL，以此对被感染系统进行数量统计。另外，“苦马”变种c会在被感染系统“启动”文件夹中创建木马主程序，从而实现开机自动运行。