英文名称：Trojan/VBS.ka

中文名称：“VBS傀儡”变种ka

病毒长度：5719字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：8c3fc0993bf419094b80323a30b2bff9

特征描述：

Trojan/VBS.ka“VBS傀儡”变种ka是“VBS傀儡”家族中的最新成员之一，采用“VBS”脚本语言编写。“VBS傀儡”变种ka运行后，会执行被感染系统“%SystemRoot%\system32\”文件夹下的恶意批处理程序“3.bat”。在被感染系统的桌面上创建恶意图标“超级好玩小游戏”、“淘宝网今日打折特价区”，双击后会分别访问“http://www.dj*x.cn/?desk”和“http://www.1*6.cc/taobao.htm?desk”。在收藏夹中添加多个垃圾Internet快捷方式，分别指向网站“http://union.da*ang.com/transfer/transfer.aspx?from=P-261907&backurl=http://www.dangdang.com”、“http://www.1*6.cc/taobao.htm”、“http://www.am*on.cn/?source=narutokks”、““http://www.dj*x.cn/?fav”，从而以恶意推广的方式牟取非法的经济利益。运行“%SystemRoot%\system32\3.vbs”，从而执行更多的恶意操作。“VBS傀儡”变种ka会强行设置IE浏览器的默认主页为骇客指定站点“http://www.2*5.cc/”，致使用户在开启IE浏览器后会自动访问该站点，从而为其增加了访问量，给骇客带来了非法的经济利益。另外，“VBS傀儡”变种ka会修改注册表登陆初始化内容，以此实现开机自启。

英文名称：TrojanSpy.SpyEyes.boy

中文名称：“谍之眼”变种boy

病毒长度：35960字节

病毒类型：间谍木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：ad91c4ccb6503ccfdf0bfd51d55bcb7a

特征描述：

TrojanSpy.SpyEyes.boy“谍之眼”变种boy是“谍之眼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“谍之眼”变种boy运行后，会自我复制到被感染系统的“%USERPROFILE%\Application Data\Adobe\”文件夹下，重新命名为“AdobeUtil.exe”。文件属性设置为“系统、隐藏”。然后其会重命名为“err.log1449875”。将被感染系统“%SystemRoot%\system32\”文件夹下的系统文件“mshta.exe”复制到该病毒所在的文件夹，并以该病毒的名称重命名，还会复制到“%USERPROFILE%\Application Data\Adobe\”文件夹下，重命名为“adb.cer”。执行“%USERPROFILE%\Application Data\Adobe\AdobeUtil.exe”，命令行参数为“-fst”。其会在被感染系统的后台连接骇客指定的站点“erherg3*fwe.com/xgate.php”等，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“谍之眼”变种boy会在开始菜单“启动”文件夹下添加名为“AdbUpd.lnk”的快捷方式(指向自身副本)，以此实现自动运行。

英文名称：Backdoor/Gbot.tu

中文名称：“G波”变种tu

病毒长度：169984字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：df9844319115b80381b92c51db2889a6

特征描述：

Backdoor/Gbot.tu“G波”变种tu是“G波”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“G波”变种tu运行后，会自我复制到被感染系统的“%USERPROFILE%\Application Data\”文件夹下，重新命名为“dwm.exe”。还会在该文件夹下释放恶意程序“A6AA.1A3”。在“%USERPROFILE%\Application Data\Microsoft\”文件夹下释放恶意程序“conhost.exe”，在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放“csrss.exe”。“G波”变种tu运行时，会在被感染系统的后台连接骇客指定的站点“onlinebi*ory.com”、“pdasof*e.com”、“gra*ar.com”、“suppor*idevices.com”、“realsoft*lopment.com”、“ord*allcd.com”、“z*tf.com”、“happy*ddin.com”、“lostpr*anda.net”、“mono*rom.at”、“online*secretfriends.com”、“fo*sho.com”、“hollan*rrett.com”、“natio*electric.com”、“health*ow.com”、“onlinein*te.com”、“crazyle*ign.com”，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“G波”变种tu会在被感染系统注册表启动项中添加键值，以此实现开机自启。

英文名称：TrojanDropper.Flystud.bry

中文名称：“苍蝇贼”变种bry

病毒长度：1406608字节

病毒类型：木马释放器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：bfa50dce7dc5feabf2e1ea63f1d15f5d

特征描述：

TrojanDropper.Flystud.bry“苍蝇贼”变种bry是“苍蝇贼”家族中的最新成员之一，采用“易语言”编写，经过加壳保护处理。“苍蝇贼”变种bry运行后，会自我复制到被感染系统的“C:\WINDOWS\system32\ACF7EF”文件夹下，重新命名为“74BE16.EXE”。在开始菜单[启动]文件夹中添加名为“74BE16”的快捷方式(指向自身副本)，以此实现开机自启。“苍蝇贼”变种bry运行后，会在被感染系统的“C:\WINDOWS\system32\5A8DCC”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夹下分别释放易语言运行库“dp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”等。在“C:\WINDOWS\system32”文件夹下创建空目录0F6226、76682F，用于记录指定数据。秘密搜集用户数据，并将相关信息发送到骇客指定的远程站点，从而给用户造成了不同程度的损失。还可能从骇客指定的远程站点下载恶意程序并自动调用运行，其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“苍蝇贼”变种bry可通过U盘进行传播。