英文名称：Trojan/StartPage.ewr

　　中文名称：“初始页”变种ewr

　　病毒长度：32768字节

　　病毒类型：木马

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：42a5fc345d1f63a076210b569d83d178

　　特征描述：

　　Trojan/StartPage.ewr“初始页”变种ewr是“初始页”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。该木马的图标会被设置成RAR压缩包样式，以此达到欺骗用户的目的。“初始页”变种ewr运行后，会弹出标题为“安装程序解压缩数据错误，按确定退出安装!”的窗口。当用户点击“确定”按钮后，该木马的安装程序会将自我删除，以此消除痕迹。“初始页”变种ewr会在系统“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下创建恶意脚本文件“y2.jse”并调用运行。通过IE弹窗的方式访问网页“http://wwv.c*3.net/index2.htm”，以此达到增加指定站点访问量的目的。删除IE浏览器的桌面图标，之后会伪造IE浏览器快捷方式，以此实现诱骗用户点击运行的目的。通过这个快捷方式启动的IE浏览器会自动访问“http://wvw.39*16.com/?x05”、“http://wvw.17*82.com/?x05”或“http://wvw.63*16.com/?x05”这些站点，从而给骇客带来了非法的经济利益。“初始页”变种ewr还会破坏“自定义桌面”中的“IE浏览器”桌面图标设置，致使用户无法再重新创建IE浏览器桌面图标。“初始页”变种ewr会通过结束并重新运行“explorer.exe”的方式达到刷新桌面图标的目的。另外，其还会删除某些安全软件的桌面图标。

　　英文名称：Trojan/PSW.WOW.cqi

　　中文名称：“魔兽贼”变种cqi

　　病毒长度：85504字节

　　病毒类型：盗号木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：6fd42dee4893d0f24db1d833fc9a8ad0

　　特征描述：

　　Trojan/PSW.WOW.cqi“魔兽贼”变种cqi是“魔兽贼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“魔兽贼”变种cqi是一个专门盗取“梦幻西游”网络游戏会员账号的木马程序，其会随网络游戏“梦幻西游”一同启动运行后。“魔兽贼”变种cqi运行后，会首先确认自身是否已经插入到“explorer.exe”和游戏进程“my.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“魔兽贼”变种cqi会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

　　英文名称：TrojanDownloader.Agent.cbnq

　　中文名称：“代理木马”变种cbnq

　　病毒长度：139264字节

　　病毒类型：木马下载器

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：d8b576dbdb38ac95e95a44b9bf7f9e82

　　特征描述：

　　TrojanDownloader.Agent.cbnq“代理木马”变种cbnq是“代理木马”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，其图标会被设置成文件夹样式，以此增强迷惑性。“代理木马”变种cbnq运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下分别释放恶意组件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。强行篡改被感染系统中的注册表项，致使IE在启动后会自动访问骇客指定的站点“http://www.77*34.net”。在被感染系统的后台遍历除系统盘以外的所有分区，然后将这些分区根目录下的文件夹设置为“系统、只读、隐藏”属性，同时生成与被隐藏文件夹同名的“.exe”文件(图标被设置成文件夹样式)，以此诱骗用户点击。用户在点击运行后，“代理木马”变种cbnq会自动打开与之同名的文件夹，从而蒙蔽了用户。“代理木马”变种cbnq运行时，会在被感染系统的后台连接骇客指定的站点“http://202.102.*.116/files/”和“http://www.down1*80.com/maindll/”，分别下载恶意程序“pipi_211_115.exe”和“flymy.dll”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，其会访问骇客指定的页面“http://www.si*m.com/cpa/lin.asp?cpname=&ver=&sname=&user=&netid=&hardid=”，以此对被感染系统进行数量统计。另外，“代理木马”变种cbnq会通过在被感染系统注册表中添加键值“csiddll”和“EyeOnIE Class”的方式实现开机自启。9 7 3 1 2 4 8 :

本文来源：华军资讯 作者：厂商投递