英文名称：Trojan/Antavmu.avi

中文名称：“伪程序”变种avi

病毒长度：74221字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：8a3128d15bc8b4d8d142d72e3c088b88

特征描述：

Trojan/Antavmu.avi“伪程序”变种avi是“伪程序”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“伪程序”变种avi运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“noxc.exe”。将恶意代码插入到“explorer.exe”等进程中隐秘运行。后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。“伪程序”变种avi运行时，会在被感染系统的后台连接骇客指定的IP“218.83.*.104”，下载恶意程序到被感染系统并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，会给用户造成不同程度的损失。“伪程序”变种avi的传播途径一般为网页木马，如果用户的计算机系统存在相应的漏洞，则会增加感染该病毒的风险，甚至多次重复感染。

英文名称：Backdoor/IRCBot.moz

中文名称：“IRC波”变种moz

病毒长度：33313字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/20033

MD5 校验：75f4ea282a60ebd963950099ad327a60

特征描述：

Backdoor/IRCBot.moz“IRC波”变种moz是“IRC波”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“IRC波”变种moz运行后，会自我复制到系统盘根目录下的“C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\”文件夹下，重新命名为“syitm.exe”。还会在该文件夹下释放配置文件“Desktop.ini”，并将以上文件的属性设置为“系统、隐藏、只读”。将自身代码插入到“explorer.exe”进程中隐秘运行，以此隐藏自我，防止被轻易地查杀。在后台连接骇客指定的远程站点“dq.javag*es7.com”，获取配置文件(内容为加密数据，其中包括病毒的版本号、更新日期、恶意网址等)，然后根据其中的设置执行相应的恶意操作。其会将自身作为电子邮件附件发送给指定的E-mail地址，从而实现了自我传播。另外，“IRC波”变种moz会在被感染系统注册表启动项中添加键值“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Tnaww”、“HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell”，以此实现开机自动运行。“IRC波”变种moz的传播途径一般为网页木马，如果用户的计算机系统存在相应的漏洞，则会增加感染该病毒的风险，甚至多次重复感染。

英文名称：TrojanSpy.SpyEyes.bug

中文名称：“谍之眼”变种bug

病毒长度：81408字节

病毒类型：间谍木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：0d83f54cc02864bedb03b9f6726b68a1

特征描述：

TrojanSpy.SpyEyes.bug“谍之眼”变种bug是“谍之眼”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。其会判断“%SystemRoot%\system32\drivers\”目录下是否存在hgfs.sys、prleth.sys、vmhgfs.sys驱动文件，hgfs.sys驱动文件为VMware Tools驱动文件，如发现存在该驱动文件则调用函数结束线程使VMware虚拟机瞬间蓝屏，目的是防止通过虚拟机分析病毒。获取DBGHELP.DLL(Ollydbg调试器动态链接库文件)、sbieDll.dll(沙盘动态链接库文件)句柄，以此判断自身是否处于被调试状态。如果发现处于被调试状态则会通过调用相关函数的方式干扰调试过程。查找注册表项“HKLM\HARDWARE\Description\System\SystemBiosVersion\VBOX”的值是否为“55274-640-1532467-23148”，如果是则会退出自身进程。“谍之眼”变种bug运行时，会自我复制到被感染系统的“%USERPROFILE%\Application Data\d3\”文件夹下，重新命名为“csrss.exe”。将“%USERPROFILE%\Application Data\d3\”文件夹重新命名为“%USERPROFILE%\Application Data\d32\”。秘密连接骇客指定的站点“liv*ocnn.ru/blog/img.php?v=1&id=zr1g1ucbyfzfphect1plsaxqgay2djs&b=&tm=1&os=WinXP&av=&br=&”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“谍之眼”变种bug完全远程控制被感染的计算机系统，从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。另外，“谍之眼”变种bug会在被感染系统注册表启动项中添加键值，以此实现自动运行。

英文名称：Trojan/PSW.Taworm.atz

中文名称：“毒它虫”变种atz

病毒长度：104524字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：5a6328af3e52de8ee6f946060a0a3113

特征描述：

Trojan/PSW.Taworm.atz“毒它虫”变种atz是“毒它虫”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“毒它虫”变种atz运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“haupt.exe”。将恶意代码插入到“explorer.exe”进程中隐秘运行。后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。“毒它虫”变种atz运行时，会在被感染系统的后台连接骇客指定的站点“23weer.77*2.com/23weer/”，下载恶意程序“23weer.gif”、“23weer.jpg”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。秘密连接骇客指定的站点“www.heih*hhuo.net”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“毒它虫”变种atz完全远程控制被感染的计算机系统，从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。“毒它虫”变种atz在运行完成后会将自我删除，从而达到消除痕迹的目的。另外，“毒它虫”变种atz会通过在被感染系统注册表启动项中添加新键、修改登陆初始化内容的方式实现自动运行。