9月1日病毒播报：木马乱放垃圾快捷方式

在今天的病毒中，“黑点”变种oha和“通犯”变种es值得关注。

英文名称：Packed.Black.oha

中文名称：“黑点”变种oha

病毒长度：400408字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：1c807cd9642e5db0a361627dbad7eb9f

特征描述：

Packed.Black.oha“黑点”变种oha是“黑点”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。该木马会被伪装成搜狗拼音输入法，以此诱骗用户点击运行。“黑点”变种oha运行后，会删除被感染系统“%USERPROFILE%\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\”文件夹下的IE快捷方式，之后会在该文件夹下释放“Intrenet Exqlorer.atr0”、“A今日团购”、“Intrenet Explorere”等垃圾快捷方式。在“%USERPROFILE%\\Favorites\\”文件夹下创建名为“购物名站大全”的文件夹，并且会在其中释放指向“hxxp://www.3*h.com/”、“hxxp://www.9*n.com/等大量站点的垃圾Internet快捷方式，以此诱骗用户对这些站点进行访问。同时，其还会在桌面、“%ALLUSERSPROFILE%\\All Users\\「开始」菜单\\”和“%ALLUSERSPROFILE%\\「开始」菜单\\程序\\”文件夹下创建假冒的IE快捷方式和垃圾Internet快捷方式，通过这些快捷方式启动的浏览器会自动访问指定的站点，从而给骇客带来了非法的经济利益。

英文名称：TrojanDownloader.Generic.es

中文名称：“通犯”变种es

病毒长度：322560字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：eb4652ba804828bce94216c4cdc2d9b1

特征描述：

TrojanDownloader.Generic.es“通犯”变种es是“通犯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“通犯”变种es会被伪装成腾讯QQ的样式，以此诱骗用户点击运行。“通犯”变种es运行后，会在被感染系统的“%programfiles%\\QvodPlay\\”文件夹下释放恶意DLL组件“whmixn.dll”，还会在“%programfiles%\\MySQLPlus\\”文件夹下释放“crsas.exe”。“通犯”变种es运行时，会在被感染系统的后台连接骇客指定的远程站点“hxxp://taobao.l*wc.com/mm_16525014_0_0/Updata/”，读取配置文件“whmixn.txt”，然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，从而给用户造成了不同程度的损失。另外，“通犯”变种es会在被感染系统注册表启动项中添加键值，以此实现开机后自动运行。