10月20日病毒播报：木马释放大量图表文件

　　【赛迪网-IT技术讯】在今天的病毒里，需要警惕“斯塔格”变种dw和“黑壳”变种qt。

　　英文名称：Trojan/Staget.dw

　　中文名称：“斯塔格”变种dw

　　病毒长度：89609字节

　　病毒类型：木马

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：cc5b36bb86e965ee06f708019ff4d0e6

　　特征描述：

　　Trojan/Staget.dw“斯塔格”变种dw是“斯塔格”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“斯塔格”变种dw运行后，会通过“taskkill”命令尝试结束指定的安全软件，以此实现自我保护。之后其会自我复制到被感染系统的“%programfiles%\\ComPlus Applications\\7885\\”文件夹下，重新命名为“takesoft.exe”。其还会在该文件夹下释放大量的图标文件。安装完成后，原病毒程序会将自身删除，以此消除痕迹。在被感染系统的后台定时访问指定的URL“www.123g*gle.cn/tjjjj/get.asp?mac=00C29D468A4&makedate=&comput=Home&ver=29&userid=0004”，以此对被感染系统进行数量统计。强行篡改被感染系统IE浏览器的默认主页为骇客指定站点，致使用户在开启IE浏览器后便会自动连接到该站点，从而为其增加了访问量，给骇客带来了非法的经济利益。另外，“斯塔格”变种dw会通过篡改被感染系统注册表中现有启动项的方式来实现开机自动运行。

　　英文名称：Backdoor/DarkShell.qt

　　中文名称：“黑壳”变种qt

　　病毒长度：79155字节

　　病毒类型：后门

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：1b3415e9f943c7db8e77e8756d14efc2

　　特征描述：

　　Backdoor/DarkShell.qt“黑壳”变种qt是“黑壳”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“黑壳”变种qt运行后，会在被感染系统的“%programfiles%\\WinRAR\\”文件夹下释放恶意程序“comine.exe”。“黑壳”变种qt属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程站点“y*y.3322.org”，获取客户端的IP地址，然后侦听骇客指令，从而达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可以窃取、修改或删除系统中存放的文件，从而对用户的信息安全、个人隐私甚至是商业机密构成了严重的威胁。感染了“黑壳”变种qt的系统还会成为骇客的傀儡主机，利用这些傀儡主机骇客可以对指定站点发起DDoS攻击、洪水攻击等，从而对互联网的信息安全造成了更大的破坏。另外，“黑壳”变种qt会在被感染系统的启动文件夹下创建文件，以此实现开机自启。