英文名称：Trojan/KillAV.bva

　　中文名称：“AV杀手”变种bva

　　病毒长度：31744字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：c4999459a8e98f8f1592672b19a54bdc

　　特征描述：

　　Trojan/KillAV.bva“AV杀手”变种bva是“AV杀手”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“AV杀手”变种bva运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“m*.dll”(文件名包含一串随机数)，在“%SystemRoot%\”目录下释放恶意DLL组件“s*.dll”，在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”和“acpiec.sys”。利用其释放的恶意驱动程序“acpiec.sys”关闭安全软件的自保护功能，同时终止大量安全软件、系统工具、应用程序的进程，关闭相关的系统服务等，致使用户的计算机失去保护。篡改“hosts”文件，通过域名映像劫持屏蔽大量安全类站点，使得用户无法通过网络获取病毒的查杀信息。感染所有磁盘分区中的“.html”和“.htm”文件，通过向其尾部添加恶意代码的方式进行网页挂马。感染“C:\”以外分区中存储的除“qq.exe”和“360safe.exe”以外的“.exe”文件，由此可能导致被感染文件无法正常运行，或者在运行后下载指定的恶意程序并调用运行。“AV杀手”变种bva还会在被感染系统的后台连接骇客指定的服务器，获取恶意程序下载列表“http://sureyo*.net/aa1dfh.txt”，下载指定的恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。“AV杀手”变种bva可通过“MS08-067”漏洞以及自动播放功能进行攻击与传播。其会在被感染计算机的系统盘根目录下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“1.exe”(“AV杀手”变种bva)，文件属性设置为“系统、隐藏、只读”，以此实现双击盘符后激活木马的目的，给计算机用户造成了更多的威胁。利用“MS08-067”漏洞对指定的IP地址进行扫描，一旦发现存在此漏洞的计算机，便会进行溢出攻击。骇客可在被攻破的计算机上执行恶意指令以及下载并安装其它恶意程序，从而对被攻击者造成更大的侵害。“AV杀手”变种bva可用自身替换桌面程序“explorer.exe”，从而实现了开机自启。同时，其会通过驱动程序“pcidump.sys”替换“%SystemRoot%\system32\drivers\gm.dls”文件的代码为原“explorer.exe”的代码，并且再将其复制到“%SystemRoot%\TEMP”目录下，重新命名为“explorer.exe”。通过对该文件进行调用，使得用户在登录系统后能够正常显示桌面，减少了系统中毒后表现出的异常。另外，“AV杀手”变种bva会隐藏“Windows文件保护”的提示窗口，从而使得替换系统文件时不被用户所察觉。

　　英文名称：Trojan/PSW.Magania.trd

　　中文名称：“玛格尼亚”变种trd

　　病毒长度：16464字节

　　病毒类型：盗号木马

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：28cc3e7b243f30fa78b9d8be331a5408

　　特征描述：

　　Trojan/PSW.Magania.trd“玛格尼亚”变种trd是“玛格尼亚”盗号木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“玛格尼亚”变种trd运行后，会在被感染系统的“%SystemRoot%\fonts\”目录下读取保存着加密收信地址的配置文件“sUfa6DfmrK.Ttf”。在被感染计算机的后台遍历当前系统中所有正在运行的进程，一旦发现指定的安全软件存在，便会尝试9 7 3 1 2 3 4 5 4 8 :

本文来源：华军资讯 作者：苏熠渊整理