8月29日病毒播报：“砸波”搜索关闭杀软

在今天的病毒里，“绑架犯”变种hg和“砸波”变种lem值得关注。

英文名称：Trojan/PSW.Bjlog.hg

中文名称：“绑架犯”变种hg

病毒长度：192512字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：def6e696b03e58e21b97bd2149f240be

特征描述：

Trojan/PSW.Bjlog.hg“绑架犯”变种hg是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“绑架犯”变种hg运行后，会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意DLL组件“ektmeyenpw.log”，同时会将“ektmeyenpw.log”移动到“%programfiles%\\NetMeeting\\”文件夹下，重新命名为“xclcm.lib”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“绑架犯”变种hg运行时，会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与客户端（IP地址为：219.129.*.97）进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，“绑架犯”变种hg会在被感染计算机中注册名为“ias”的系统服务，以此实现开机自动运行。

英文名称：TrojanSpy.Zbot.lem

中文名称：“砸波”变种lem

病毒长度：152064字节

病毒类型：间谍木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：d88f18c0fc57fb36efeb6925416c3f67

特征描述：

TrojanSpy.Zbot.lem“砸波”变种lem是“砸波”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“砸波”变种lem运行后，会自我复制到被感染系统的“%USERPROFILE%\\Application Data\\Isuma\\”文件夹下，重新命名为“qyci.exe”。其还会在“%USERPROFILE%\\Application Data\\Ixqetu\\”文件夹下释放恶意程序“weovy.ywi”。释放完成后，原病毒程序会创建批处理程序“tem49e6794b.bat”并调用运行，以此消除痕迹。“砸波”变种lem运行时，会在被感染系统的后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。同时，其还会遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“砸波”变种lem便会尝试将其强行关闭，以此达到自我保护的目的。另外，“砸波”变种lem会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。