日前“呼啸鬼”蠕虫家族的最新成员Worm/Huhk.b“呼啸鬼”变种b正在疯狂的利用U盘、移动硬盘、SD卡等移动存储设备进行传播。

Worm/Huhk.b“呼啸鬼”变种b采用高级语言编写，并且经过加壳保护处理。

如果你的system32多了一个名字是“28463”的文件夹，那就是“呼啸鬼”变种b在作恶。“呼啸鬼”变种b运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”和“%SystemRoot%\system32\”目录下，重新命名为“regsvr.exe”、“regsvr.exe”和“svchost .exe”，同时设置这些文件的属性为“系统、隐藏、只读、存档”。“呼啸鬼”变种b还会在这个目录下建立28463文件夹，并释放恶意程序“svchost.exe”以及配置文件到文件夹里。

“呼啸鬼”变种b运行后，会将正常系统文件“explorer.exe”移动到“%USERPROFILE%\Local Settings\Temp\”目录下，重新命名为“lorer.exe”。感染正常的“explorer.exe”，并将感染后的文件分别复制到“%SystemRoot%\”和“%SystemRoot%\system32\dllcache\”目录下，以此实现了随机自启，提高了蠕虫自身的隐蔽程度和生存几率。

“呼啸鬼”变种b运行时，会在被感染计算机系统的后台秘密监视用户的键盘输入，记录按键输入以及窗口标题等信息到加密的日志文件中，并在后台将窃取到的信息发送到骇客指定的邮箱“tlpoei*@aol.com”和FTP服务器“ftp://ftp.smt*.ru”上（地址经过加密处理），从而给被感染计算机用户的个人隐私等造成了不同程度的侵害。连接骇客指定的远程服务器站点，下载其它恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成更多不同程度的损失。

“呼啸鬼”变种b还会监视被感染系统中新插入的移动存储设备，一旦发现有新的存储设备接入时，便会在其根目录下创建“autorun.inf”（自动播放配置文件）和蠕虫主程序“regsvr.exe”，以此实现双击盘符后激活蠕虫，从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行传播、感染的目的，致使用户面临更多的威胁。

“呼啸鬼”变种b会通过在被感染计算机系统注册表启动项中添加键值“svchost Agent”、“Msn Messsenger”，以及新建计划任务等多种方式实现开机后的自动运行。