英文名称：Backdoor/Bifrose.clu

中文名称：“比福洛斯”变种clu

病毒长度：337377字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：afaca6e9249b7bc61002ed0c381d1da3

特征描述：

Backdoor/Bifrose.clu“比福洛斯”变种clu是“比福洛斯”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“比福洛斯”变种clu运行后，会自我复制到被感染系统的“%programefiles%\Common Files\Microsoft Shared\MSINFO\”文件夹下，重新命名为“winalt.txt”(文件属性设置为“系统、隐藏”)。安装完毕后，原病毒程序会创建批处理文件“SxDel.bat”并在后台调用运行，以此消除痕迹。“比福洛斯”变种clu属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程站点“raobao.3*6.net”，读取配置文件，然后侦听骇客指令，以此达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除用户计算机中存放的机密信息，从而对用户的个人隐私，甚至是企业的商业机密构成了严重的威胁。感染“比福洛斯”变种clu的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，“比福洛斯”变种clu会在被感染计算机中注册名为“Rising Proxy Service”的系统服务，以此实现开机自启。

英文名称：Backdoor/Cinkel.bx

中文名称：“私客”变种bx

病毒长度：122880字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：1d061c50ad58b40e84d10e50a0014c7f

特征描述：

Backdoor/Cinkel.bx“私客”变种bx是“私客”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“私客”变种bx运行后，会自我复制到被感染系统的“%SystemRoot%\Winxows Publxrc\”和“%SystemRoot%\Winxows Publxrcs\”文件夹下，分别重新命名为“services.exe”。“私客”变种bx运行时，会在被感染系统的后台定时访问指定的站点，以此提高这些网站的访问量(网络排名)。其还会在系统盘根目录下释放注册表文件“1.reg”并调用执行，以此将被感染系统IE浏览器的主页设置为骇客指定的站点。“私客”变种bx会在开始菜单“启动”文件夹下添加名为“des.lst”的快捷方式，以此实现开机自动运行。

英文名称：Trojan/PSW.Frethoq.qn

中文名称：“密匪”变种qn

病毒长度：45392字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：def39dbe696a1a467807c5aa9fb65612

特征描述：

Trojan/PSW.Frethoq.qn“密匪”变种qn是“密匪”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“密匪”变种qn运行后，会在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“密匪”变种qn便会尝试将其强行关闭，以此达到自我保护的目的。“密匪”变种qn运行后，会调用系统文件“sfc_os.dll”中的5号函数，以此关闭Windows文件保护功能。将“%SystemRoot%\system32\wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“tmp1.tmp”。之后会向其中写入恶意代码。将“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“tmp2.tmp”。然后会将“tmp1.tmp”复制到“%SystemRoot%\system32\”文件夹下，重新命名为“wininet.dll”，以此达到替换系统文件的目的。“密匪”变种qn是一个专门盗取“地下城与勇士”网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题。一旦发现指定程序启动，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放)，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：TrojanDropper.Cadro.as

中文名称：“卡朵”变种as

病毒长度：528384字节

病毒类型：木马释放器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：aac9b05bec0507fb2915105753764387

特征描述：

TrojanDropper.Cadro.as“卡朵”变种as是“卡朵”家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“卡朵”变种as运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\h8nil4o8\”文件夹下释放恶意DLL组件“p.dll”，然后将其复制到“%SystemRoot%\system32\”和“%SystemRoot%\”文件夹下，分别重新命名为“ec2o.dll”、“ec2e.dll ”和“5c6u.bmp”。在“%USERPROFILE%\Local Settings\Temp\h8nil4o8\”下释放恶意DLL组件“b.dll”，并且会将其复制为“%SystemRoot%\e5cd.exe”。在“%USERPROFILE%\Local Settings\Temp\h8nil4o8\”下释放恶意程序“s.exe”，并且会将其复制到“%SystemRoot%\system32\”和“%SystemRoot%\”文件夹下，分别重新命名为“cbbd.exe”和“de5d.flv”。“卡朵”变种as运行时，会在被感染系统的后台连接骇客指定的远程站点“http://110.770*123.cn”和“http://3*3.boolans.com/”，以此实现下载指定恶意程序或提高指定站点访问量的目的。另外，“卡朵”变种as会通过添加名为“ms.job”的计划任务，以此实现开机自动运行。

英文名称：Trojan/PSW.Kykymber.pi

中文名称：“密室大盗”变种pi

病毒长度：18288字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：7df99bcdd30bf33d42cf0ba8cd5006fc

特征描述：

Trojan/PSW.Kykymber.pi“密室大盗”变种pi是“密室大盗”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理，是一个由其它恶意程序释放出来的DLL功能组件。“密室大盗”变种pi运行后，会首先判断自身是否被注入到进程“ctfmon.exe”中运行，如果不是则自动退出。调用系统DLL组件“sfc_os.dll”中的5号函数，以此关闭Windows文件保护功能。将“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下的“dsound.dll”重新命名为“dsound.dll.WJZM”，然后会将包含恶意代码的“dsound.dll.dat”复制到“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下，以此实现系统文件的替换。在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“密室大盗”变种pi便会尝试将其强行关闭，以此达到自我保护的目的。“密室大盗”变种pi是一个专门盗取“热血传奇Online”网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放)，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

英文名称：Trojan/Scar.crg

中文名称：“毒疤”变种crg

病毒长度：560816字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：a751959d6dcb4877af1778ae07c7820a

特征描述：

Trojan/Scar.crg“毒疤”变种crg是“毒疤”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“毒疤”变种crg运行后，会自我复制到被感染系统的“%SystemRoot%\GoogleUpdate\”文件夹下，重新命名为“update.exe”(文件属性设置为“系统、隐藏、只读”)。“毒疤”变种crg运行时，会在被感染系统的后台连接骇客指定的远程站点“201.83.*.201”，下载指定的恶意程序并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，会给用户造成不同程度的损失。另外，“毒疤”变种crg会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。