木馬強化惡意文件迷惑性

木馬病毒里，我們需要謹慎防范“視頻寶寶”變種uyc和“毒露水”變種imc。

英文名稱：TrojanDropper.VB.uyc

中文名稱：“視頻寶寶”變種uyc

病毒長度：102400字節

病毒類型：木馬釋放器

危險級別：兩星

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：23d4edc2b2b13bd0b73cbd9b198fdac0

木馬特征描述：

TrojanDropper.VB.uyc“視頻寶寶”變種uyc是“視頻寶寶”家族中的最新成員之一，采用“VB6.0”編寫。“視頻寶寶”變種uyc運行后，會在被感染系統的“c:\program files\common files”文件夾下釋放圖標文件“t.ico”和“d.ico”，在桌面和“c:\Documents and Settings\All Users\[開始] 菜單\”文件夾下釋放“internet explorer.hdh”、“在線小游戲.hyx”、“看電影.hpf”、“網上購物.htb”、“上網導航.h35”、“圖片新聞.hli”，同時會為這些文件設置相關屬性，從而防止被輕易地刪除。

在“c:\Program Files”下釋放“ZD37TA.exe”，還會在當前目錄下釋放“網聚.exe”和“jies.bak.vbs”。在注冊表中為“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等類型文件建立關聯信息，并修改默認圖標，從而為這些文件增強了迷惑性。當用戶雙擊這些文件時，會通過IE瀏覽器自動訪問“hxxp://www.hen*cuo.com/?1121 ”、“hxxp://www.d*d.com/?1121”、“hxxp://www.pi*ang.net/?1121”、“hxxp://taobao.l*so.com/?1121”、“hxxp://www.3*s.com/?1121”、“hxxp://www.l*so.com/?1121”，從而增加了訪問量。另外，其還會在計算機系統中安裝被稱為“風影影視”的軟件，為其增加了裝機量。其釋放的“網聚.exe”運行后會彈出一些指定的網站。

另外，“視頻寶寶”變種uyc在運行完成后會創建腳本文件并調用運行，以此將自身刪除。

英文名稱：Trojan/Refroso.imc

中文名稱：“毒露水”變種imc

病毒長度：93696字節

病毒類型：木馬

危險級別：一星

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：9c17add7a15f459fe090e622da3ad64f

木馬特征描述：

Trojan/Refroso.imc“毒露水”變種imc是“毒露水”家族中的最新成員之一，采用“Microsoft CAB SFX”編寫。“毒露水”變種imc運行后，會在被感染系統的“%USERPROFILE%\Local Settings\Temp\IXP000.TMP\”文件夾下釋放惡意程序“i-2.exe”并調用運行。“i-2.exe”執行后，會自我復制到“%programfiles%\Bifrost\”文件夾中，重新命名為“server.exe”，屬性設置成為“隱藏”。“server.exe”屬于反向連接木馬程序，其會在被感染系統的后臺連接駭客指定的站點“jeedo.za*to.org”，獲取客戶端IP地址，偵聽駭客指令，從而達到被駭客遠程控制的目的。

該木馬具有遠程監視、控制等功能，可以監視用戶的一舉一動（如：鍵盤輸入、屏幕顯示、光驅操作、文件讀寫、鼠標操作和攝像頭操作等）。還可以竊取、修改或刪除計算機中存儲的機密信息，從而對用戶的個人隱私甚至是商業機密構成嚴重的威脅。感染“毒露水”變種imc的系統還會成為網絡僵尸傀儡主機，利用這些傀儡主機駭客可對指定站點發起DDoS攻擊、洪水攻擊等。

“毒露水”變種imc訪問網絡時，會在被感染計算機的后臺調用系統IE瀏覽器進程“iexplore.exe”，并把惡意代碼注入其中隱秘運行，以此隱藏自我，防止被輕易地查殺。如果被感染的計算機上已安裝并啟用了防火墻，則該木馬會利用防火墻的白名單機制來繞過防火墻的監控，從而達到隱蔽通信的目的。“毒露水”變種imc會在被感染系統注冊表啟動項中添加鍵值，以此實現開機自啟。

病毒和木馬是大家常談的話題，大家在了解了相關病毒的知識后一定要及時做好防護措施。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]