木马强化恶意文件迷惑性

木马病毒里，我们需要谨慎防范“视频宝宝”变种uyc和“毒露水”变种imc。

英文名称：TrojanDropper.VB.uyc

中文名称：“视频宝宝”变种uyc

病毒长度：102400字节

病毒类型：木马释放器

危险级别：两星

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：23d4edc2b2b13bd0b73cbd9b198fdac0

木马特征描述：

TrojanDropper.VB.uyc“视频宝宝”变种uyc是“视频宝宝”家族中的最新成员之一，采用“VB6.0”编写。“视频宝宝”变种uyc运行后，会在被感染系统的“c:\program files\common files”文件夹下释放图标文件“t.ico”和“d.ico”，在桌面和“c:\Documents and Settings\All Users\[开始] 菜单\”文件夹下释放“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35”、“图片新闻.hli”，同时会为这些文件设置相关属性，从而防止被轻易地删除。

在“c:\Program Files”下释放“ZD37TA.exe”，还会在当前目录下释放“网聚.exe”和“jies.bak.vbs”。在注册表中为“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等类型文件建立关联信息，并修改默认图标，从而为这些文件增强了迷惑性。当用户双击这些文件时，会通过IE浏览器自动访问“hxxp://www.hen*cuo.com/?1121 ”、“hxxp://www.d*d.com/?1121”、“hxxp://www.pi*ang.net/?1121”、“hxxp://taobao.l*so.com/?1121”、“hxxp://www.3*s.com/?1121”、“hxxp://www.l*so.com/?1121”，从而增加了访问量。另外，其还会在计算机系统中安装被称为“风影影视”的软件，为其增加了装机量。其释放的“网聚.exe”运行后会弹出一些指定的网站。

另外，“视频宝宝”变种uyc在运行完成后会创建脚本文件并调用运行，以此将自身删除。

英文名称：Trojan/Refroso.imc

中文名称：“毒露水”变种imc

病毒长度：93696字节

病毒类型：木马

危险级别：一星

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：9c17add7a15f459fe090e622da3ad64f

木马特征描述：

Trojan/Refroso.imc“毒露水”变种imc是“毒露水”家族中的最新成员之一，采用“Microsoft CAB SFX”编写。“毒露水”变种imc运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\IXP000.TMP\”文件夹下释放恶意程序“i-2.exe”并调用运行。“i-2.exe”执行后，会自我复制到“%programfiles%\Bifrost\”文件夹中，重新命名为“server.exe”，属性设置成为“隐藏”。“server.exe”属于反向连接木马程序，其会在被感染系统的后台连接骇客指定的站点“jeedo.za*to.org”，获取客户端IP地址，侦听骇客指令，从而达到被骇客远程控制的目的。

该木马具有远程监视、控制等功能，可以监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等）。还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“毒露水”变种imc的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。

“毒露水”变种imc访问网络时，会在被感染计算机的后台调用系统IE浏览器进程“iexplore.exe”，并把恶意代码注入其中隐秘运行，以此隐藏自我，防止被轻易地查杀。如果被感染的计算机上已安装并启用了防火墙，则该木马会利用防火墙的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。“毒露水”变种imc会在被感染系统注册表启动项中添加键值，以此实现开机自启。

病毒和木马是大家常谈的话题，大家在了解了相关病毒的知识后一定要及时做好防护措施。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]