9月6日病毒播报：病毒冒充QQ2009运行文件

在今天的病毒里，“通犯”变种ari和“斯塔格”变种dh值得关注。

英文名称：TrojanDownloader.Generic.ari

中文名称：“通犯”变种ari

病毒长度：220672字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：b6d2410ef19be8c15f4195f39396d3b4

特征描述：

TrojanDownloader.Generic.ari“通犯”变种ari是“通犯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“通犯”变种ari运行后，会自我复制到被感染计算机的系统盘根目录下，重新命名为“QQ2009.exe”。其会将“%programfiles%\\WinRAR\\”文件夹下的“WinRAR.exe”重命名为“WinRAREx.exe”，然后在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意文件“kb-9138531.tmp”，之后会将其复制到“%programfiles%\\WinRAR\\”文件夹下，重新命名为“WinRAR.exe”。其还会在“%SystemRoot%\\system32\\”文件夹下创建名为“DUData.dll”、“qq.sys”，“cmd.txt”，“mcsql.exe”，“NTPass.dll”，“eulagold.txt”，“GinaPwd.txt”，“mssql.exe”，“mmsql.exe”，“SysS.ldb”，
“qq3.exe”，“qq.exe”，“j.i”，“dboysb.sys”的文件夹。完成上述释放和创建操作后，原病毒程序会将自身删除，以此消除痕迹。“通犯”变种ari运行时，会在被感染系统的后台连接骇客指定的远程站点“123.30.*.114”，下载恶意程序“1.rar”、“2.rar”、“3.rar”、“4.rar”、“5.rar”、“6.rar”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“通犯”变种ari会在被感染计算机中注册名为“Ias ”的系统服务，以此实现开机自动运行。

英文名称：Trojan/Staget.dh

中文名称：“斯塔格”变种dh

病毒长度：140510字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：e55d80f10efd52826b277a147e289606

特征描述：

Trojan/Staget.dh“斯塔格”变种dh是“斯塔格”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“斯塔格”变种dh运行后，会尝试结束指定进程“zhudongfangyu.exe”，从而达到自我保护的目的。其会在被感染系统的“%SystemRoot%\\system32\\8466\\”文件夹下释放恶意程序“takesoft.exe ”、“dasoft.encode”等，从而给用户造成了更多的威胁。后台访问指定的URL“www.ku6*9.com/tongji/get.asp?mac=00C29D468A4&makedate=&comput=Home&ver=27&userid=0001”，以此对被感染系统进行统计。“斯塔格”变种dh运行时会占用大量的系统资源，从而极大地降低了系统的运行速度。另外，“斯塔格”变种dh在释放完恶意程序后会将自身进行删除，以此消除痕迹。