10.29日病毒播报:"VBS"和"扯淡鬼"变种

　　英文名称：TrojanClicker.VBS.am
　　中文名称：“VBS傀儡”变种am
　　病毒长度：6131字节
　　病毒类型：木马点击器
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：316eb6518cddd825078f693713abaf93
　　特征描述：
　　TrojanClicker.VBS.am“VBS傀儡”变种am是“VBS傀儡”家族中的最新成员之一，采用VBS脚本语言编写。“VBS傀儡”变种am运行后，会执行被感染系统“%programfiles%\winsoft9\”文件夹下的恶意批处理程序“3.bat”和恶意脚本程序“3.vbs”。其会在IE收藏夹下的“链接”文件夹中创建如下垃圾Internet快捷方式：“网址导航.url”（指向“http://d*uu.com/?fa2”），“福彩体彩.url”（指向“http://www.8*vv.com/cp/”），“◆ 淘 宝 网 ◆.url”（指向“http://www.8*vv.com/tb/”），“好玩小游戏.url”（指向“http://www.45*75.com/?fa2”），“当当网.url”（指向“http://www.8*vv.com/dd/”），“卓越网.url”（指向“http://www.8*vv.com/zy/”），“看电视剧.url”（指向“http://www.kk*sj.com/?fa2”），“美眉极品图.url”（指向“http://www.92ni*m.com/?fa2”），“最快电影.url”（指向“http://www.kus*la.com/?fa2”），“小说网.url”（指向“http://www.boo*xp.com/?fa2”），“单机游戏.url”（指向“http://www.32*4.com/?fav”），“网络电视.url”（指向“http://www.9*tv.com/?fa2”），还会在IE收藏夹下创建如下垃圾Internet快捷方式：“极好的在线网络电视.lnk”（指向“http://www.9*tv.com/?fav”），“漂亮的美眉图的大集...清纯极品超级美媚写真！！.url”（指向“http://www.92ni*m.com/?fav”），“最新极品绿色好的电影库免费.高清高速！天天更新!!!.url”（指向“http://www.kus*la.com/?fav”）等，从而给骇客带来了非法的经济利益。另外，其还会在“%programfiles%\Common Files\”文件夹下创建名为“winie9.html”的html文件，其中的内容为“<script>window.location.href='http://www.9*9dh.com/?366';</script><meta http-equiv=""refresh"" content=""0;url=http://www.9*9dh.com/?366"">”，从而诱骗用户对指定站点进行访问。

　　英文名称：Trojan/CDur.aut
　　中文名称：“扯淡鬼”变种aut
　　病毒长度：105472字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：c440ec07d1570d24dfbd803486017498
　　特征描述：
　　Trojan/CDur.aut“扯淡鬼”变种aut是“扯淡鬼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“扯淡鬼”变种aut运行后，会通过执行“taskkill/im 360tray.exe/f”和“taskkill/im taskmgr.exe/f”命令来关闭指定杀毒软件和任务管理器。在“%SystemRoot%\”文件夹下释放恶意DLL组件“DWi40Ddk.dll”，同时设置其“创建时间”和“修改时间”为当前系统的安装日期，以此迷惑用户，从而达到更好的隐藏效果。“扯淡鬼”变种aut运行时，会将释放的恶意DLL组件“DWi40Ddk.dll”插入到系统桌面程序“explorer.exe”进程中隐秘运行。同时在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。后台秘密窃取系统中的机密信息，并且会将窃得的信息发送到骇客指定的远程站点或邮箱中（地址加密存放），从而给被感染系统用户造成了不同程度的损失。另外，“扯淡鬼”变种aut会在被感染计算机中注册名为“??j- \$1<-w...”的系统服务，以此实现开机自动运行。