英文名称：TrojanDropper.VB.dzk

中文名称：“视频宝宝”变种dzk

病毒长度：34787字节

病毒类型：木马释放器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：5841a8886ead74602b4c3d614cc9de99

特征描述：

TrojanDropper.VB.dzk“视频宝宝”变种dzk是“视频宝宝”家族中的最新成员之一，采用“VB6.0”编写。“视频宝宝”变种dzk运行后，会删除被感染系统“%windir%\system32\”文件夹下的ttjj20.ini、SoundMan.exe、SondMan.exe、SoudMan.exe、SonndMan.exe、xoxx.exe、xoxxo.exe、soss.exe、soliee.exe、inertno.exe、xox.exe、xoxo.exe、sosos.exe、solin.exe、inertne.exe、notepde.exe，删除“%windir%\”文件夹下的SoundMan.exe、SoudMan.exe、SondMan.exe、SonndMan.exe、SonndMan.exe。将“%ProgramFiles%\360safe\safemon\safemon.dll”重新命名为“%ProgramFiles%\360safe\safemon\safemes.dll”，将“%ProgramFiles%\Rising\AntiSpyware\ieprot.dll”重新命名为“%ProgramFiles%\Rising\AntiSpyware\iepret.dll”。在被感染系统的“%windir%\system32”文件夹下释放文件inertno.exe、ttjj21.ini，在“%windir%\”下释放“SonndMan.exe”，还会在“%windir%\system32\”文件夹下释放“inertno.exe”，之后会将上述文件的属性设置为“隐藏、系统”。另外，其会创建系统服务项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\helpsvc”，以此实现“%windir%\system32\inertno.exe”的开机自启。

英文名称：Trojan/Buzus.njf

中文名称：“霸族”变种njf

病毒长度：97792字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：8644788dfd15e24357df76f4be65c6af

特征描述：

Trojan/Buzus.njf“霸族”变种njf是“霸族”家族中的最新成员之一，经过加壳保护处理。“霸族”变种njf运行后，会在被感染系统的临时文件夹下释放恶意DLL组件“1360281.dll”，在“c:\documents and settings\administrator\”文件夹下释放恶意DLL组件“thjvc.drv”，之后会通过“rundll32.exe”调用运行“thjvc.drv”，之后将其删除。自我复制到被感染系统的“c:\program files\common files”文件夹下，重新命名为“sytvsm.exe”。在系统盘根目录下生成autorun.inf，以此实现“c:\program files\common files\sytvsm.exe”的自动运行。在临时文件夹下释放恶意驱动文件 ~wdotl.tmp，并且创建内核驱动服务wdotl以加载“~wdotl.tmp”，加载成功后便会将其删除。该恶意驱动程序会获取系统内核映像特定指令的位置并返回给特定程序，可用于SSDT恢复等操作。另外，该木马还会将浏览器首页修改为“http://www.xin*ng.net/”。“霸族”变种njf具有进程守护功能，一旦发现其释放或生成的文件被打开便会强行将执行操作的程序关闭。另外，“霸族”变种njf在安装完成后会将自身删除，以此消除痕迹。

英文名称：Trojan/Generic.buix

中文名称：“通犯”变种buix

病毒长度：84854字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：20c72da5728ed6582e76bd44b84c9468

特征描述：

Trojan/Generic.buix“通犯”变种buix是“通犯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“通犯”变种buix运行后，会在被感染系统的“%SystemRoot%\system32\yfuuogpjdf”和“%SystemRoot%\system32\gknrypdxed”文件夹下分别释放恶意程序“explorer.exe”、“smss.exe”并调用运行，还会在“c:\”下释放文件lkxlsmmpsc.txt、nbmwshlvjw.jpg、asfipcetpc.bmp、umuhpagbmg.gif、dsiyhtuvub.doc、BOSC.dll和hwqnqjwiiu.exe。在当前用户的桌面上创建假冒的IE浏览器快捷方式，通过其启动的IE浏览器会自动访问骇客指定的站点“http://www.sf*07.com/”，以此为其增加访问量。后台遍历当前系统中运行的所有进程，如果发现“avp.exe”、“cmd.exe”、“netsh.exe”、“conime.exe”、“regedit.exe”、“wscript.exe”、“regsvr32.exe”、“rundll32.exe”、“wmiprvse.exe”、“ipconfig.exe”等进程存在，“通犯”变种buix便会尝试将其强行关闭，从而达到自我保护的目的。在注册表中创建服务项“HKEY_LOCAL_MACHINE\system\CurrentControl\Services\DMusic”，以此实现“%SystemRoot%\system32\drivers\kpscc.sys”的开机自启。“通犯”变种buix属于某恶意程序中的功能组件，如果发现该病毒，说明系统中还存在其它恶意程序。

英文名称：Trojan/Scar.fvq

中文名称：“毒疤”变种fvq

病毒长度：121019字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：c619988f5379d9cd7d560230ecd7c19d

特征描述：

Trojan/Scar.fvq“毒疤”变种fvq是“毒疤”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“毒疤”变种fvq运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“eeyiey.exe”。“毒疤”变种fvq属于反向连接木马程序，其会在被感染系统的后台连接骇客指定的远程站点，侦听骇客指令，从而达到被骇客远程控制的目的。该木马具有远程监视、控制等功能，可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除用户计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“毒疤”变种fvq的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，“毒疤”变种fvq会在被感染计算机中注册名为“zyVuLAiC”的系统服务，以此实现开机自启。