英文名称：Backdoor/PcClient.qcr

中文名称：“友好客户”变种qcr

病毒长度：202726字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：2178e1ef7564f3b4bda193c8559e855e

特征描述：

Backdoor/PcClient.qcr“友好客户”变种qcr是“友好客户”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“友好客户”变种qcr运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“fnzvuo.dll”，在“%SystemRoot%\system32\”文件夹下释放恶意驱动程序“0005b972.sys”。“友好客户”变种qcr运行时，会将释放的“fnzvuo.dll”插入到被感染系统的“svchost.exe”进程中隐秘运行。后台执行相应的恶意操作，以此隐藏自我，防止被轻易地查杀。“友好客户”变种qcr属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程站点“guan*qing.3322.org”，获取客户端的IP地址，然后侦听骇客指令，从而达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除用户计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“友好客户”变种qcr的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，“友好客户”变种qcr会在被感染计算机中注册名为“xlwnrf”的系统服务，以此实现开机自启。

英文名称：Backdoor/Huigezi.xaw

中文名称：“灰鸽子”变种xaw

病毒长度：557568字节

病毒类型：后门

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：a23b7101e2c194b5f028b5cc3a567280

特征描述：

Backdoor/Huigezi.xaw“灰鸽子”变种xaw是“灰鸽子”后门家族中的最新成员之一，采用Delphi语言编写，经过加壳保护处理。“灰鸽子”变种xaw运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”目录下，重新命名为“wded.exe”(文件属性设置为“只读”)。“灰鸽子”变种xaw是一个反向连接后门程序，其会与骇客指定的远程站点“dcl*35.3322.org”进行连接。骇客可通过“灰鸽子”变种xaw完全远程控制被感染系统，从而给系统用户的个人隐私甚至是商业机密造成了不同程度的侵害。另外，“灰鸽子”变种xaw会将自身注册成名为“LanmandeWorkstation”的系统服务，以此实现开机自动运行。

英文名称：Trojan/Genome.fbn

中文名称：“邪恶基因”变种fbn

病毒长度：221184字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：8f20f194b2517230e6dc0ff2893d71d0

特征描述：

Trojan/Genome.fbn“邪恶基因”变种fbn是“邪恶基因”家族中的最新成员之一，采用高级语言编写。“邪恶基因”变种fbn运行时，会在被感染系统的后台连接骇客指定的远程站点，下载“http://08052.80*xp.com:250/11.txt”，根据其中的设置下载各种恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。其还会根据“http://update.q*d.com/qd.jpg”下载“http://qd.q*d.com/QvodSetupPlus.exe”。在被感染系统的后台遍历当前正在运行的所有进程，如果发现某些指定的安全软件存在，“邪恶基因”变种fbn便会尝试将其强行关闭，从而达到自我保护的目的。在系统托盘区域显示假冒的QQ广播图标，以此诱骗被感染系统用户点击。用户点击后便会将其引导至指定的钓鱼站点“http://qq2010*l.info/”，以此实施进一步的诈骗。同时，“邪恶基因”变种fbn还具有设置键盘钩子的功能，从而可以窃取用户的键盘输入，给用户的个人私密信息造成了不同程度的威胁。另外，“邪恶基因”变种fbn会访问指定的URL“www.12*23.cn/Count/count.asp?mac=00c029911b39&xxx=11”，以此对被感染系统进行数量统计。

英文名称：Backdoor/Bifrose.cza

中文名称：“比福洛斯”变种cza

病毒长度：114373字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：43f8037458cb062047e2f5fd87b16138

特征描述：

Backdoor/Bifrose.cza“比福洛斯”变种cza是“比福洛斯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“比福洛斯”变种cza运行后，会在被感染系统的“C:\WINDOWS\system32”文件夹下释放恶意文件“plugin1.dat”。自我复制到“C:\WINDOWS\system32”文件夹下，重新命名为“SiSUSB2.exe”。创建注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}”，以此实现“C:\WINDOWS\system32\SiSUSB2.exe”的开机自启。另外，还会创建注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Wget\nck”、“HKEY_USERS\S-1-5-21-1844237615-308236825-1801674531-500\Software\Wget\klg”和“HKEY_USERS\S-1-5-21-1844237615-308236825-1801674531-500\Software\Wget\plg1”。创建“iexplorer.exe”进程，并且在后台对10.10.*.10:2000进行访问。另外，其还会通过在被感染系统注册表启动项中添加键值“SiSUSB2”的方式实现“C:\WINDOWS\system32\SiSUSB2.exe”的开机自启。

英文名称：Trojan/WinReg.ae

中文名称：“赢家”变种ae

病毒长度：617580字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：8d6015980c78b68480435f70a1c1472e

特征描述：

Trojan/WinReg.ae“赢家”变种ae是“赢家”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“赢家”变种ae运行后，会在被感染计算机上弹出“setup”对话框，当用户点击安装按钮后，会在“%programfiles%\imetool\”文件夹下创建指定文件“imetool.exe”，在“%programfiles%\Internet Explorer\”文件夹下创建恶意程序“update.exe”。“update.exe”运行后，会自动访问“http://www.v1*8.com/”。“赢家”变种ae是一个广告类的恶意软件，其会在IE收藏夹下创建大量指向不同商业站点的Internet快捷方式，还会在当前桌面上创建Internet快捷方式“淘宝热卖.url”、“淘宝正品商城.url”、“Internet Explorer.url”。另外，其还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下生成注册表项“no.reg”并调用“regedit.exe”来导入，以此将IE浏览器的主页设置为骇客指定站点“http://www.v1*8.com/?16”，从而为其增加了访问量，给骇客带来了非法的经济利益。

英文名称：Trojan/Fakeav.cyb

中文名称：“AV骗子”变种cyb

病毒长度：899072字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：30fd068c31749eaa040eedd7741a6168

特征描述：

Trojan/Fakeav.cyb“AV骗子”变种cyb是“AV骗子”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“AV骗子”变种cyb运行后，会在被感染系统的“c:\documents and settings \administrator\local settings\application data\”文件夹下释放恶意文件“58518.exe”，同时会连接骇客指定的URL“http://188.229.*.163/cb_soft.php?q=e9c73aa7baeeee6542084146ffd2c300”，可能用来对被感染系统进行数量统计。检测当前程序是否被调试，同时还会进行设置键盘钩子、提升权限等行为。弹出窗口“Secutrity Tool successfully installed”，之后会强行扫描被感染的计算机系统，并且弹出系统已被病毒感染的虚假消息，从而给用户造成了不同程度的干扰。“AV骗子”变种cyb在运行完成后会创建批处理文件并以隐藏窗口的形式调用运行，从而达到消除痕迹的目的。