英文名称：TrojanDropper.VB.tqt

中文名称：“视频宝宝”变种tqt

病毒长度：102400字节

病毒类型：木马释放器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：3cec1184bbee2152f75d7327f7a01bf8

特征描述：

TrojanDropper.VB.tqt“视频宝宝”变种tqt是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“视频宝宝”变种tqt运行后，会在被感染系统的“%CommonProgramFiles%”文件夹下释放图标文件“t.ico”、“d.ico”，并将其属性设置为“系统”、“隐藏”。在当前用户桌面以及C盘根目录下释放恶意快捷方式“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35”、“图片新闻.hli”，设置属性为“系统”、“只读”，还会将这些文件复制到“%ALLUSERSPROFILE%\「开始」菜单\”文件夹下。这些快捷方式会被设置特殊的权限，从而防止用户轻易地删除。在注册表中为上述恶意快捷方式创建文件关联，以此实现双击后自动调用IE浏览器访问“http://www.hen*ucuo.com/?1121 ”、“http://www.d*1d.com/?1121”、“http://www.pia*ang.net/?1121”、“http://ta*ao.loliso.com/?1121”、“http://www.3*es.com/?1121”、“http://www.l*iso.com/?1121”的目的。同时还会将这些快捷方式的图标设置为“IEXPLORE.EXE”、“SHELL32.dll”、“SHELL32.dll”、“t.ico”、“d.ico”。强行删除桌面上的IE快捷方式，并将IE浏览器的首页设置为骇客指定的站点。在被感染系统中安装名为“风影影视”的软件，从而为其恶意增加安装量。其还会在“%ProgramFiles%\”下释放恶意文件“168e2j.exe”、“网聚.exe”和“jie.bak.vbs”。“视频宝宝”变种tqt在执行完上述恶意操作后，会释放脚本文件并调用运行，以此将自身删除。

英文名称：Trojan/Buzus.tsi

中文名称：“霸族”变种tsi

病毒长度：1011200字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：6ecb37e9910360a6033927447b112eee

特征描述：

Trojan/Buzus.tsi“霸族”变种tsi是“霸族”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“霸族”变种tsi运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“twex.exe”，在“%SystemRoot%\system32\twain32\”文件夹下释放恶意程序“user.ds.lll”、“user.ds”、“local.ds”。在被感染系统的后台窃取机密信息(例如用户计算机配置、银行卡密码、网站的账号密码等)，并在后台将窃得的信息发送到骇客指定的远程站点或邮箱里(地址加密存放)，从而给被感染系统用户造成了不同程度的侵害。后台连接骇客指定的远程站点“vil*ew.com/i.bin”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“霸族”变种tsi会在被感染系统注册表启动项中修改“Userinit”的键值，以此实现开机自启。

英文名称：Trojan/Swisyn.ooi

中文名称：“广告徒”变种ooi

病毒长度：44544字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：c9ead5fb530d3234b3d1929675f96bfa

特征描述：

Trojan/Swisyn.ooi“广告徒”变种ooi是“广告徒”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“广告徒”变种ooi运行后，会在被感染系统的“%SystemRoot%\”文件夹下释放恶意程序“Udat.exe”并自动调用运行。在被感染系统的后台访问指定的URL“jian-q*g-zhe.com/AddSetup.asp?”，以此对被感染系统数量进行统计。其会检测当前系统中是否运行着“腾讯QQ”，如果发现便会弹出虚假中奖信息。当用户点击弹出的消息框时，就会连接骇客指定的站点“http://www.qq*2011.com/”，致使用户面临更多的威胁。在被感染系统的后台秘密窃取当前系统的配置信息，然后从骇客指定的URL“ip*13.com:2010/ip.asp”下载恶意程序“ctfmons.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“广告徒”变种ooi会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

英文名称：Backdoor/Huigezi.amfd

中文名称：“灰鸽子”变种amfd

病毒长度：367672字节

病毒类型：后门

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：01b59a2d51a912ddbbb723c3e90752e7

特征描述：

Backdoor/Huigezi.amfd“灰鸽子”变种amfd是“灰鸽子”后门家族中的最新成员之一，采用Delphi语言编写，经过加壳保护处理。“灰鸽子”变种amfd运行后，会自我复制到被感染系统的“%programfiles%\Storm\”目录下，重新命名为“Soft.exe”(文件属性设置为只读、隐藏、存档)。“灰鸽子”变种amfd属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程站点“y*e.8866.org”，获取客户端IP地址，然后侦听骇客指令，从而达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除计算机中存储的机密信息等，从而对用户的信息安全、个人隐私甚至是商业机密构成严重的威胁。感染“灰鸽子”变种amfd的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，“灰鸽子”变种amfd会将自身注册成名为“Microsoft ActiveSync”的系统服务，以此实现开机自动运行。

英文名称：TrojanDownloader.AutoIt.nn

中文名称：“多面杀手”变种nn

病毒长度：1376541字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：d88fc807849aec8d424a83b96be4e317

特征描述：

TrojanDownloader.AutoIt.nn“多面杀手”变种nn是“多面杀手”家族中的最新成员之一，经过加壳保护处理。“多面杀手”变种nn运行后，会读取new.9*8.la/53a.txt中存储的代码。访问api.l*wei.com/location/，获取本机的IP地址。在“C:\Documents and Settings\All Users\Application Data\”文件夹下创建“ok.vbs”，在“D:\RECYCLERMD\1\”下创建“CLSID.reg”、“desktop.ini”、“1.inf”，并设置上述文件为“系统、隐藏”属性。“ok.vbs”运行后，会在当前用户桌面上创建假冒的IE快捷方式，然后调用之前释放的其它恶意文件。调用完成后，“ok.vbs”会将这些恶意文件删除。“多面杀手”变种nn运行时，会在“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”下添加键值“Rundll32 shell32.dll,ShellExec_RunDLLA device:\Windows\system32\debug.exe”，在“HKEY_CLASSES_ROOT\CLSID\{EDF23680-E1E5-41D2-8EF7-206008039E37}\IsShortCut”下创建相关键值，在“HKEY_CLASSES_ROOT\CLSID\{EDF23680-E1E5-41D2-8EF7-206008039E37}\DefaultIcon”下创建键值“C:\Program Files\Internet Explorer\IEXPLORE.EXE”，在“HKEY_CLASSES_ROOT\CLSID\{EDF23680-E1E5-41D2-8EF7-206008039E37}\Shell\Open(&O)”下添加键值“打开(&H)”，在“HKEY_CLASSES_ROOT\CLSID\{EDF23680-E1E5-41D2-8EF7-206008039E37}\Shell\Open(&O)\Command”下添加键值“Rundll32 shell32.dll,ShellExec_RunDLLA C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.6*5.la/?10”，从而实现通过假冒IE快捷方式自动访问指定站点的目的，给骇客带来了非法的经济利益。