英文名称：Backdoor/Trup.bd

中文名称：“逃犯”变种bd

病毒长度：39424字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：d5018e6a6e64638d501358a791f01003

特征描述：

Backdoor/Trup.bd“逃犯”变种bd是“逃犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“逃犯”变种bd运行后，会遍历被感染系统中运行的所有进程，如果发现“DSMain.exe”存在则退出运行。获取当前所在的目录，然后自我复制为“228.tmp”(文件属性设置为“系统、隐藏”)。在被感染计算机的系统盘根目录下释放恶意程序“alh.exe”并调用运行。该程序运行后，会在被感染计算机的“%SystemRoot%\”文件夹下释放配置文件“VB.ini”和“VC.ini”，还会在“%SystemRoot%\system32\”文件夹下释放图标文件“tbhdz.ico”。“逃犯”变种bd会根据配置文件“VC.ini”中的内容屏蔽许多网站，致使用户无法访问这些站点，从而降低了这些网站的访问量。还会在被感染计算机上定时弹出恶意广告网页，给用户造成了不同程度的干扰。从骇客指定站点下载恶意程序并自动调用运行，致使用户面临不同程度的威胁。另外，其还会在桌面上创建快捷方式“InternetExplorer.SE”和“淘宝网.JE”，这些快捷方式会将被感染系统用户诱骗至指定站点，从而给骇客带来了非法的经济利益。同时，“逃犯”变种bd还会修改“隐藏文件和文件夹”选项中的“不显示隐藏的文件和文件夹”属性和“隐藏已知文件类型的扩展名”属性，从而增强自身的隐蔽性。

英文名称：TrojanDownloader.Mufanom.mbb

中文名称：“魔法木马”变种mbb

病毒长度：75776字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：a0a2c19c7e3f84ae4ef93174dcd292a4

特征描述：

TrojanDownloader.Mufanom.mbb“魔法木马”变种mbb是“魔法木马”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“魔法木马”变种mbb运行后，会在被感染系统的“%SystemRoot%\”文件夹下释放恶意DLL组件“oerteres.dll”，同时设置其“创建时间”、“修改时间”为当前系统的安装日期，以此迷惑用户，达到更好的隐藏效果。之后，其会调用rundll32.exe执行释放的DLL文件。在被感染系统的后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，会给用户造成不同程度的损失。另外，“魔法木马”变种mbb会在被感染系统注册表启动项中添加键值，以此实现开机自启。

英文名称：Backdoor/RBot.sec

中文名称：“罗伯特”变种sec

病毒长度：442368字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：f6b18a6642d1b5b87d3b61e3c26b882d

特征描述：

Backdoor/RBot.sec“罗伯特”变种sec是“罗伯特”家族中的最新成员之一，采用COM技术编写，经过加壳保护处理。“罗伯特”变种sec运行后，会在“HKEY_CURRENT_USER\software\bnwork\settings\previewpages”下记录病毒感染信息。设置键盘鼠标钩子，并且监视IE浏览器窗口。后台开启远程访问等服务，还会弹出内容为“请执行主程序”的对话框。在被感染计算机系统的后台用POST方法连接骇客指定的URL“bnflow.zajindan.com/bnflow/ds/connect.php?/a=bn2”，获取恶意程序下载列表，然后从指定的站点例如“www.sll*j4.cn”、“www.alli*ge.com.cn”、“www.5*a.com”、“gg0*87.cn”、“mm9*60.cn”、“3322.org”、“61.160.*.80”、“as*aa.cn”、“ptp*ever.net”、“c1*2c.cn”、“nach*as.cn”、“8866.org”等下载恶意程序并自动调用运行。其所下载的文件可能为网络游戏盗号木马、远程控制后门等，会对被感染系统用户造成更多的威胁。

英文名称：Trojan/Swisyn.oha

中文名称：“广告徒”变种oha

病毒长度：44544字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：5ced39e13de6327bbfef13c4c18706d2

特征描述：

Trojan/Swisyn.oha“广告徒”变种oha是“广告徒”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“广告徒”变种oha运行后，会自我复制到被感染系统的“%SystemRoot%\”文件夹下，重新命名为“Gt.exe”，以此实现开机自启。“广告徒”变种oha运行时，会在被感染系统的后台定时访问指定的恶意站点“web.heisell.com/AddSetup.asp?”，以此对被感染系统进行数量统计。检测当前系统中是否运行着腾讯QQ，如果发现则弹出虚假中奖信息，以此诱骗用户点击。当用户点击这些信息后，会自动访问骇客指定的站点“http://qq2*0lo.info/”，从而可能给用户带来更多的威胁，例如遭受网络诈骗或网页木马等的侵害。其还会在被感染计算机的后台秘密窃取当前系统的配置信息，然后从骇客指定的远程站点“ip213.com:2010/ip.asp”下载恶意程序并调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。