英文名称：TrojanDownloader.Icehart.aj

中文名称：“冰之心”变种aj

病毒长度：126976字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：44ea3c569bc18ab767b319bd18c48696

特征描述：

TrojanDownloader.Icehart.aj“冰之心”变种al是“冰之心”家族中的最新成员之一，采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“冰之心”变种aj运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“system.exe”。在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“iavsl.exe”，并在后台调用命令执行。该恶意程序运行后会将自身删除，以此达到消除痕迹的目的。“iavsl.exe”运行时，会将“%SystemRoot%\system32\wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“1.tmp”，然后通过其访问网络。后台连接骇客指定的远程站点“e14.n*ux.com:8080/”，获取恶意程序下载列表，下载指定的恶意程序“sc.png”等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，其还会在桌面上创建垃圾快捷方式“免费电影C”、“改变你的一生”、“淘宝购物A”，以此为“http://www.s*08.com/taobao.htm”增加流量。另外，“冰之心”变种aj会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

英文名称：TrojanDownloader.FlyStudio.bqg

中文名称：“苍蝇贼”变种bqg

病毒长度：1127487字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：ec77a09cc8e1b03fc044aa34933876ce

特征描述：

TrojanDownloader.FlyStudio.bqg“苍蝇贼”变种bqg是“苍蝇贼”家族中的最新成员之一，采用“易语言”编写，并且经过加壳保护处理。“苍蝇贼”变种bqg运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夹下释放由易语言编写的恶意DLL组件“dp1.fne ”、“krnln.fnr”，并复制到名为“%SystemRoot%\system32\276d2b\”的文件夹下。还会在“%SystemRoot%\system32\276d2b\”文件夹下释放相关组件“HtmlView.fne”、“eAPI.fne”、“internet.fne”以及恶意程序“W1DEFD0.EXE”和“W1DEFD0.TXT”。秘密连接骇客指定的服务器站点，侦听骇客指令，在被感染的计算机上执行相应的恶意操作。骇客可通过“苍蝇贼”变种bqg完全远程控制被感染的计算机系统，致使系统用户的个人隐私面临着严重的威胁。其还会在后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，给用户造成了更大的损失。另外，“苍蝇贼”变种bqg会在被感染系统注册表启动项中添加键值，在“开始”文件夹中创建快捷方式“867B57.lnk”，以此实现开机自启动。

英文名称：Backdoor/Papras.ys

中文名称：“劈啪斯”变种ys

病毒长度：130560字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：845afcb0b940ffd352fe8195a4a1e6d7

特征描述：

Backdoor/Papras.ys“劈啪斯”变种ys是“劈啪斯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“劈啪斯”变种ys运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“dpvsedos.dll”，文件属性设置为“系统、隐藏、只读”。“劈啪斯”变种ys运行时，会将释放的恶意DLL组件“dpvsedos.dll”插入到被感染系统的“firefox.exe”和“iexplorer.exe”进程中隐秘运行。后台执行相应的恶意操作，以此隐藏自我，防止被轻易地查杀。秘密连接骇客指定的站点“194.247.*.100/cgi-bin/options.cgi?user%5fid=2450581811&version%5fid=24&passphrase=fkjvhsdvlksdhvlsd&socks=0&build=32100&crc=00000000”和“91.217.*.64/cgi-bin/options.cgi?user%5fid=2450581811&version%5fid=24&passphrase=fkjvhsdvlksdhvlsd&socks=0&build=32100&crc=00000000”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“劈啪斯”变种ys完全远程控制被感染的计算机系统，从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。“劈啪斯”变种ys在运行完成后会创建批处理文件(“1960656.bat”)并在后台调用执行，以此将自身删除。另外，“劈啪斯”变种ys会在被感染系统注册表启动项中添加键值，以此实现自动运行。

英文名称：Trojan/Fakeav.jir

中文名称：“伪杀鬼”变种jir

病毒长度：22528字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：a4ade2f512e8cfe9c9de1944323f39f3

特征描述：

Trojan/Fakeav.jir“伪杀鬼”变种jir是“伪杀鬼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“伪杀鬼”变种jir运行后，会自我复制到被感染计算机系统盘根目录下的“C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\”文件夹下，重新命名为“ju7bd.exe”。还会在该文件夹下释放配置文件“Desktop.ini”，并将以上文件的属性设置为“系统、隐藏、只读”。遍历当前系统中的所有进程，一旦

发现某些安全软件的进程(MSASCui.exe、msseces.exe)存在，便会尝试将其结束，致使系统失去安全软件的保护。将恶意代码插入到“explorer.exe”进程中隐秘运行，以此隐藏自我，防止被轻易地查杀。后台连接骇客指定的远程站点“mix.te*ame.com”，获取配置文件(数据加密，文件内容包括病毒的版本号、更新日期、恶意网站地址等)，然后根据其中的设置执行相应的恶意操作。其会将自身作为电子邮件附件发送给指定的E-mail地址，从而实现了自我传播。另外，“伪杀鬼”变种jir会在被感染系统注册表启动项中添加键值“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ju7bd”，以此实现开机自动运行。