病毒篡改浏览器默认主页

 

英文名称：Trojan/VBS.zx

 

中文名称：“VBS傀儡”变种zx

 

病毒长度：76376字节

 

病毒类型：木马

 

危险级别：一星

 

影响平台：Win 9X/ME/NT/2000/XP/2003

 

MD5 校验：9ecc1bef464dc50985e94bb61ea39481

 

特征描述：

 

Trojan/VBS.zx“VBS傀儡变种zx是“VBS傀儡”家族中的最新成员之一，采用“VBS”脚本语言编写。“VBS傀儡”变种zx运行时，会强行篡改系统注册表中的相关项，设置IE浏览器、遨游浏览器、360安全浏览器、Mozilla Firefox浏览器、搜狗浏览器的默认主页为骇客指定站点“hxxp://www.zao*zhu.com/?my=0”，致使用户在开启浏览器后会自动访问该站点，从而为其增加了访问量，给骇客带来了非法的经济利益。

 

在被感染系统的“%USERPROFILE%\Favorites”和“%USERPROFILE%\Favorites\链接”文件夹下释放恶意图标“4399小游戏”、“高清电影”、“无屏蔽搜索”、“百度搜索”、“起点小说”、“起点小说”、“网络创业秘籍”、“网址大全”，当用户点击这些图标则会链接到骇客指定的网站“www.mylo*ebs.com”的相关页面。

 

在被感染系统的后台遍历当前系统中运行的所有进程，如果未发现某些指定的安全软件存在，“VBS傀儡”变种zx便会在“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下创建恶意脚本文件“360vbs.jse”来实现“%SystemRoot%\tctbmd.vbs”的自启动。若检测到系统内正在运行的进程中包含以下进程：“360sd.exe”、“360tray.exe”、“360rp.exe”、“360Safe.exe”，则会禁止这些程序访问网络，这样做的目的是防止云查杀，从而更好的保护自身。

 

在桌面创建恶意图标“Internet Explorer.tt”和“特色购物.bt”，用户一旦点击则会连接到骇客指定的网站。另外，其还会在后台调用命令删除相关用户对这些文件的控制权限，致使用户不能轻易删除。

 

英文名称：TrojanDropper.Killav.es

 

中文名称：“AV杀手”变种es

 

病毒长度：46384字节

 

病毒类型：木马释放器

 

危险级别：一星

 

影响平台：Win 9X/ME/NT/2000/XP/2003

 

MD5 校验：4b68c7b4f292b68f40b9839d20404be6

 

特征描述：

 

TrojanDropper.Killav.es“AV杀手”变种es是“AV杀手”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“AV杀手”变种es运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“lqcyc52.cyc”，然后把“lqcyc52.cyc”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“setupapi.dll”。还会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“systemdebug.exe”。在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“AV杀手”变种es便会尝试将其强行关闭，从而达到自我保护的目的。

 

“AV杀手”变种es运行时，会在被感染系统的后台连接骇客指定的站点“hxxp://www.xb*ws.com/”，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的URL“www.b83965.com/get.asp?mac=00-0c-29-05-68-b1&ver=4.1”，以此对被感染系统进行数量统计。“AV杀手”变种es在运行完成后会创建批处理文件“test.bat”并在后台调用执行，以此将自身删除。

 

病毒的种类繁多，大家一定要多多学习防范知识，以防自己的网络遭受破害。