木马下载器冒充系统文件

英文名称：TrojanSpy.Zbot.xwh

中文名称：“砸波”变种xwh

病毒长度：130560字节

病毒类型：间谍木马

危险级别：两星

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：4c67656e41d5e0051a74d81e4dfbf1e6

特征描述：

TrojanSpy.Zbot.xwh“砸波”变种xwh是“砸波”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“砸波”变种xwh运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“sdra64.exe”。在“%SystemRoot%\system32\lowsec\”文件夹下释放恶意程序“user.ds.lll”、“user.ds”、“local.ds”。结束被感染系统的“smss.exe”进程，并将恶意代码注入到“winlogon.exe”进程中隐秘运行。后台遍历当前系统中运行的所有进程，一旦发现指定的安全软件存在，“砸波”变种xwh便会尝试将其结束，从而更好的实现自我保护。在被感染系统的后台秘密窃取系统中的机密信息（计算机配置、银行卡密码、浏览网页的账号密码等），并在后台将窃得的信息发送到骇客指定的远程站点或邮箱里（地址加密存放），给被感染系统用户造成了不同程度的损失。后台连接骇客指定的远程站点“stomaid.ru”，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“砸波”变种xwh会在被感染系统注册表启动项中修改指定键值（userinit），以此实现开机自动运行。

英文名称：TrojanDownloader.Icehart.ag

中文名称：“冰之心”变种ag

病毒长度：125952字节

病毒类型：木马下载器

危险级别：一星

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：c7b1bdb3df48875b922d98bffdae01d7

特征描述：

TrojanDownloader.Icehart.ag“冰之心”变种ag是“冰之心”家族中的最新成员之一，采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“冰之心”变种ag运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“system.exe”。在“%SystemRoot%\system32\”文件夹下释放恶意程序“hhrlnn.exe”，并在后台调用命令运行。该恶意程序运行后会将自身删除，以此消除痕迹。“hhrlnn.exe”运行时，会把“%SystemRoot%\system32\wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“1.tmp”，然后通过其访问网络。在被感染系统的后台连接骇客指定的远程站点“e13.n*bo.com:8080/”，获取恶意程序下载列表，然后下载指定的恶意程序sc.png等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会在桌面上创建快捷方式“免费电影C”、“改变你的一生”、“淘宝购物A”，以此指向骇客指定的站点“www.sf*08.com/taobao.htm”，从而提高了网站的访问量，给骇客带来了非法的经济利益。另外，“冰之心”变种ag会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

病毒的攻击行为日益猖獗，我们大家唯有研究新的对抗方法或者预防措施来保护自己，希望大家提高防范意识，避免造成损失。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]