木马释放器集合恶意程序

中文名称：“砸波”变种znd

病毒长度：606208字节

病毒类型：间谍木马

危险级别：两星

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：cbcdf934cb85d53708761076df59fac7

特征描述：

TrojanSpy.Zbot.znd“砸波”变种znd是“砸波”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“砸波”变种znd运行后，会自我复制到被感染系统的

“%SystemRoot%\system32\” 

文件夹下，重新命名为“sdra64.exe”。还会在被感染系统的

“%SystemRoot%\system32\lowsec” 

文件夹下释放恶意文件

“user.ds”、“user.ds.lll”、“local.ds” 

并将以上文件的属性设置为“系统、隐藏、存档”。在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件（“outpost.exe”、“zlclient.exe”）存在，“砸波”变种znd便会尝试将其强行关闭，从而达到自我保护的目的。

“砸波”变种znd运行时，会在被感染系统的后台秘密监视用户的键盘和鼠标操作，伺机窃取用户输入的机密信息，并在后台将窃得的信息发送到骇客指定的站点或邮箱中（地址加密存放），给被感染计算机用户造成了不同程度的损失。还会查找是否存在

“winlogon.exe”、“svchost.exe”、“explorer.exe” 

找到后则打开进程获取模块句柄、获取进程绝对路径判断是否是该病毒要查找的文件路径，若不是则关闭句柄，若是则申请内存空间并从病毒体00400000为起始地址向以上进程中写入数据。其还会在被感染系统的后台连接骇客指定的URL

“www.bar*uxa.info/images/swf5.bin” 

“砸波”变种znd会通过发送垃圾邮件的方式进行自身的传播。另外，其会通过在被感染系统注册表启动项中添加键值、修改登陆初始化内容等多种方式来实现自动运行。

英文名称：TrojanDropper.Cadro.dx

中文名称：“卡朵”变种dx

病毒长度：65536字节

病毒类型：木马释放器

危险级别：一星

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：22fab6e4e6a1dfba251beeb5421dd2fa

特征描述：

TrojanDropper.Cadro.dx“卡朵”变种dx是“卡朵”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“卡朵”变种dx运行后，会在被感染系统的

“%USERPROFILE%\Local Settings\Temp\angls46r\” 

文件夹下释放恶意文件“tmp.exe”、“s.exe”，然后把

“tmp.exe”、“s.exe” 

移动到

“%SystemRoot%\temp\”和“%SystemRoot%\system32\” 

文件夹下并在后台调用运行。“tmp.exe”运行时，会在被感染系统的后台连接骇客指定的站点

“8475.770*23.cn”、“60.217.*.138”、“sp.dem*en.com” 

获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

卡朵变种dx属于某恶意程序集合中的部分功能组件，如感染此病毒，则说明当前计算机系统中还感染了其它的病毒程序。另外，“卡朵”变种dx会在开始菜单“启动”文件夹下添加名为“ktv.lnk”的快捷方式（指向自身副本），以此实现自动运行。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]