英文名称：Backdoor/Huigezi.bisd

中文名称：“灰鸽子”变种bisd

病毒长度：383896字节

病毒类型：后门

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：eb6824146d952b61bd2408e2b25ac4a6

特征描述：

Backdoor/Huigezi.bisd“灰鸽子”变种bisd是“灰鸽子”后门家族中的最新成员之一，采用Delphi语言编写，经过加壳保护处理。“灰鸽子”变种bisd运行后，会自我复制到被感染系统的“%SystemRoot%\”目录下，重新命名为“360safe.exe”(文件属性设置为：只读、隐藏、存档)，之后原病毒程序会将自身删除，以此消除痕迹。“灰鸽子”变种bisd是一个反向连接的后门程序，其运行后会与骇客指定的服务器“45*7.9e9e.info”进行连接。感染该病毒的计算机系统会成为骇客的傀儡主机，骇客可对其进行任意的远程控制，从而给被感染系统用户造成不同程度的威胁和侵害。另外，“灰鸽子”变种bisd会将自身注册成名为“System Memory”的系统服务，以此实现开机自动运行。

英文名称：Backdoor/PcClient.aclc

中文名称：“友好客户”变种aclc

病毒长度：204728字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：bb8cd9c036bf17dc675d2bf8925e711a

特征描述：

Backdoor/PcClient.aclc“友好客户”变种aclc是“友好客户”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“友好客户”变种aclc运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“ccrmkn.kll”和恶意文件“00047c35.sys”，之后原病毒程序会将自身删除，以此消除痕迹。“友好客户”变种aclc属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程站点“yin*ju.3322.org”，获取客户端的IP地址，然后侦听骇客指令，从而达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视被感染系统用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的信息安全、个人隐私甚至是商业机密构成严重的威胁。感染“友好客户”变种aclc的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，“友好客户”变种aclc会在被感染计算机中注册名为“cscmzo”的系统服务，以此实现开机自启。

英文名称：Trojan/Generic.rnn

中文名称：“通犯”变种rnn

病毒长度：77312字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：6781b0be83d99c66eb95b4750db10f6b

特征描述：

Trojan/Generic.rnn“通犯”变种rnn是“通犯”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“通犯”变种rnn会被仿冒成系统文件“lpk.dll”，从而实现随其它应用程序自动加载运行的目的。“通犯”变种rnn运行时，会在被感染系统的临时文件夹下释放前缀为“hrl”的恶意程序并调用运行。其释放的恶意程序在运行时，会将恶意代码注入到新建的“svchost.exe”进程中隐秘运行，从而防止被轻易地查杀。搜集本机的各种信息，并将收集的信息发送到指定的远程站点(站点地址经过加密处理)。访问“www.ody.cc”，下载恶意文件“wpad.dat”并调用运行。判断被感染系统的C盘是否为指定类型，如果是则会遍历其中的所有目录。如果发现exe文件，就将自身复制到exe文件同目录下，重新命名为“lpk.dll”。如果发现rar或zip文件并且其中存在exe文件，便将自身副本“lpk.dll”压缩至其中(文件属性会被设置成“系统”、“隐藏”、“只读”)。“通犯”变种rnn属于某恶意程序集合中的部分功能组件，如果感染此病毒，则说明当前计算机系统中还存在其它病毒。

英文名称：Packed.Klone.hbm

中文名称：“克隆先生”变种hbm

病毒长度：177664字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：55ad464ce88b77af1e3682bcfce7b169

特征描述：

Packed.Klone.hbm“克隆先生”变种hbm是“克隆先生”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“克隆先生”变种hbm运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“mgking0.dll”、“arking0.dll”以及“arking.exe”，还会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“mgking0.exe”(以上文件属性均设置为“系统、隐藏、只读”)。“克隆先生”变种hbm运行时，会将恶意代码插入到系统桌面程序“explorer.exe”进程中隐秘运行，从而防止被轻易地查杀。尝试恢复系统服务描述表(SSDT)，以此试图破坏被感染系统中安全软件的主动防御以及自我保护等功能。其还会自动模拟点击某安全软件监控弹出窗口中的“跳过”或“允许”按钮，从而躲避安全软件的拦截。在被感染系统的后台下载骇客指定的恶意程序“www.baidu*fr.com/lmg/aml.rar”和“www.sohu*i.com/lmg/am.rar”并自动调用运行，从而给被感染系统带来更多的威胁。“克隆先生”变种hbm的主程序在执行完上述操作后会将自身删除，以此消除痕迹。另外，其会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

英文名称：Trojan/Cossta.qk

中文名称：“科斯塔”变种qk

病毒长度：167936字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：33378cf68c1df80c9578289d60a675f2

特征描述：

Trojan/Cossta.qk“科斯塔”变种qk是“科斯塔”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“科斯塔”变种qk运行后，会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\sw34\”文件夹下。“科斯塔”变种qk运行时，会在被感染系统的后台连接骇客指定的URL“dl*ec.oo.ly/bbs/data/”、“da*ch.org/bbs/data/”、“www.so*jo.com.ar/tecnica/energ-img/”、“k*k.core.ignum/download/”、“ep*et.com/zeriboard/data/”，下载恶意程序“akj.zs”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“科斯塔”变种qk会在被感染系统的“启动”文件夹下创建恶意程序，以此实现开机自启。