英文名称：TrojanDownloader.Generic.cpo

中文名称：“通犯”变种cpo

病毒长度：50706字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：03c4a040137a6d3a6cae79802dfb3d98

特征描述：

TrojanDownloader.Generic.cpo“通犯”变种cpo是“通犯”家族中的最新成员之一，经过加壳保护处理。“通犯”变种cpo运行后，会首先创建注册表键“HKEY_LOCAL_MACHINE\SOFTWARE\WinRAR\am128”，并设置其键值为“s_m_f_am128”。如果发现该键值已经存在便会直接退出运行，同时将自身的文件进行删除。创建名称为“s_m_f_am128”的互斥体，从而防止自身重复运行。在当前用户的桌面上创建假冒IE快捷方式和垃圾Internet快捷方式“Internet Explorer”、“八卦色图”、“美女乐园”、“淘宝购物”、“团购之家”，还会在IE收藏夹中创建垃圾Internet快捷方式“八卦色图”、“百谷电影”、“创业投资好项目”、“看看电影”、“美女乐园”，从而诱导用户对指定站点进行访问，给骇客带来非法的经济利益。下载指定程序“www.xu*i100.com/msn/software/partner/28/DDHYT.exe”、“qk*an.6gg.cn/jm_setup_qvod.exe”、“e*.6gg.cn/setup_p55.exe”并自动调用运行，从而为指定软件恶意提高装机量。在注册表中创建“HKEY_LOCAL_MACHINE\SOFTWARE\WinRAR\hp”，同时设置其键值为“www.dh4*1.com”。在被感染系统中弹出广告网页“tc.9*h.com”，从而为指定站点增加了访问量。另外，“通犯”变种cpo会在被感染系统后台搜集各种用户私密信息，并且将其发送到“jump3.35*38.com:27889/report3.ashx?m=%s&mid=%s&tid=1&d=%s&uid=%s&t=%s”。

英文名称：Trojan/Scar.fwn

中文名称：“毒疤”变种fwn

病毒长度：73216字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：d9a33bff7953a158fefc16d9e6b87852

特征描述：

Trojan/Scar.fwn“毒疤”变种fwn是“毒疤”家族中的最新成员之一。“毒疤”变种fwn运行后，会自我复制到被感染系统的“c:\windows\help”文件夹下，以此覆盖系统文件“winhelp.exe”。创建服务“winhelp”，以此实现“c:\windows\help\winhelp.exe”的开机自动运行。“winhelp.exe”是一个后门程序，其会在被感染系统的后台连接骇客指定的远程站点“www.54*69.com:7080”，读取配置文件“/bbb/ip.txt”，然后根据其中的设置访问“113.230.*.148:82”，并且会向其中提交经过加密的信息。113.230.*.148:82会返回一些经过加密的指令，从而指示被感染系统在后台下载指定的文件“55.pk*97.com/121.14.155/1//100.txt!”。后台搜集被感染系统的物理地址和操作系统版本号，并且会向指定的URL“www.54*69:51/add.jsp?uid=002&ver=10023&mac=00-0C-29-9A-1B-39”进行反馈。

英文名称：Trojan/Fakeav.ckn

中文名称：“伪杀鬼”变种ckn

病毒长度：24576字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：b8033a107178e550f228dbd7ede5c38d

特征描述：

Trojan/Fakeav.ckn“伪杀鬼”变种ckn是“伪杀鬼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“伪杀鬼”变种ckn运行后，会在被感染系统的“%SystemRoot%\TEMP\”文件夹下释放恶意程序“ex-68.exe”并调用运行。后台连接骇客指定的远程站点“109.196.*.136/karabas_sfghesruaowie.exe”，下载恶意程序“SecurityTool”并自动调用运行。“SecurityTool”是一个假冒成杀毒软件的恶意程序，运行后会自动对系统进行扫描，并且将正常的系统文件误报为病毒，然后强迫用户进行付费注册。用户无法通过任务管理器来结束该软件，其还会屏蔽大多数的安全软件，从而更好的实现自我保护。“伪杀鬼”变种ckn的原病毒程序在运行完毕后会将自身删除。另外，其下载的恶意程序“SecurityTool”会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

英文名称：Backdoor/PcClient.ajcl

中文名称：“友好客户”变种ajcl

病毒长度：421888字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：05dbae7251da5d7877392db891471d86

特征描述：

Backdoor/PcClient.ajcl“友好客户”变种ajcl是“友好客户”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“友好客户”变种ajcl运行后，会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下。在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意程序“图片处理.exe”和图像文件“05dbae7251da5d7877392db891471d86.jpg”，然后调用运行释放的恶意文件并显示释放的图片。“图片处理.exe”会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放“1.exe”并自动调用运行。“1.exe”会在后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在便会尝试将其结束，从而达到自我保护的目的。其还会在系统盘根目录下释放恶意程序“QQGameDL.exe”、“SCR.SCR”、“factory.dll”并自动运行，从而给被感染系统造成更大的侵害。“1.exe”是一个反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程站点“j*bj.3322.org”，获取客户端IP地址，然后侦听骇客指令，从而达到被远程控制的目的。该后门可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“友好客户”变种ajcl还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。

英文名称：Trojan/Pasta.fqa

中文名称：“小广告”变种fqa

病毒长度：1175552字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：fd9fc9115c4fffba49ec5dd5f76fc680

特征描述：

Trojan/Pasta.fqa“小广告”变种fqa是“小广告”家族中的最新成员之一，采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“小广告”变种fqa具有反调试功能，从而为病毒分析制造了障碍，以此提高自身的生存几率。“小广告”变种fqa运行后，会读取被感染系统“%SystemRoot%\system32\”文件夹下的“mshta.exe”，并向其中添加恶意代码，然后调用运行。判断当前文件夹下是否存在“自身文件名”CHS.dll、“自身文件名”CHT.dll、“自身文件名”LOC.dll，如果存在则加载运行。如果不存在，就会在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“b478.dll”并将其注册。在被感染系统桌面上释放快捷方式“streaming Music - MediaPass.lnk”，用户双击该图标后，便会连接到骇客指定的站点“listen.groo*shark.com”，从而给骇客带来了非法的经济利益。另外，“小广告”变种fqa还会在被感染系统中定时弹出广告页面等，从而给被感染系统用户造成了更多的侵害。