9月5日病毒播报：病毒关闭杀软玩盗号

在今天的病毒里，“变异体”变种bwx和“苍蝇贼”变种akl值得关注。

英文名称：TrojanDownloader.Geral.bwx

中文名称：“变异体”变种bwx

病毒长度：43186字节

病毒类型：木马下载器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：71d7abfd24cb03d102585d9eaf2f2a1a

特征描述：

TrojanDownloader.Geral.bwx“变异体”变种bwx是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种bwx运行后，会首先复制自身到“%SystemRoot%\\system32\\”文件夹下，重新命名为“kav.exe”。在“%SystemRoot%\\system32\\”文件夹下释放“jxgamepacik.pak”，在“%programfiles%\\KAV\\”文件夹下释放恶意DLL组件“ibmpmdrv32.dll”，在“%programfiles%\\KAV\\”文件夹和“%SystemRoot%\\system32\\drivers\\”文件夹下释放恶意驱动程序“ibmpmdrv32.sys”，还会在“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意驱动程序“DogKiller.sys”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“变异体”变种bwx便会尝试将其强行关闭，从而达到自我保护的目的。“变异体”变种bwx运行时，会在被感染系统的后台连接骇客指定的远程站点“hxxp://mc12.mc*tj.com:18888/45/tj.asp”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“变异体”变种bwx会在被感染系统注册表启动项中添加键值，以此实现开机自启。

英文名称：TrojanDownloader.FlyStudio.akl

中文名称：“苍蝇贼”变种akl

病毒长度：1243526字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：f4c3a6ba7e3dab4653df0b63b4317545

特征描述：

TrojanDownloader.FlyStudio.akl“苍蝇贼”变种akl是“苍蝇贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“苍蝇贼”变种akl运行后，会自我复制到被感染系统的“%SystemRoot%\\system32\\618CB8\\”文件夹下，重新命名为“684819.EXE”。其还会在“%USERPROFILE%\\Local Settings\\Temp\\EN4\\”和“%SystemRoot%\\system32\\BFF6C2\\”文件夹下释放“dp1.fne”、“internet.fne”、“HtmlView.fne”、“eAPI.fne”、“krnln.fnr”等文件。“苍蝇贼”变种akl运行时，会在被感染系统的后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的威胁。另外，“苍蝇贼”变种akl会在开始菜单“启动”文件夹下添加名为“684819”的快捷方式（指向恶意程序“684819.EXE”），以此实现开机自动运行。