英文名称：TrojanDownloader.VB.ewh

中文名称：“视频宝宝”变种ewh

病毒长度：57344字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：89a5c96554ad724381bbbb7de9a9918a

特征描述：

TrojanDownloader.VB.ewh“视频宝宝”变种ewh是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“视频宝宝”变种ewh运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”和“%USERPROFILE%\Local Settings\Temp\”文件夹下，分别重新命名为“g8iquw.exe”和“wmontmp.exe”。“视频宝宝”变种ewh属于反向连接木马程序，其会在被感染系统的后台连接骇客指定的远程站点“222.122.*.19/log/cver8.asp”，获取客户端IP地址，侦听骇客指令，从而达到被远程控制的目的。该木马具有远程监视、控制等功能，可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除用户计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“视频宝宝”变种ewh的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。其还会在被感染系统后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，会给用户造成不同程度的损失。另外，“视频宝宝”变种ewh会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

英文名称：TrojanDownloader.Icehart.w

中文名称：“冰之心”变种w

病毒长度：128000字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：10c2be82db5202a3afa4f3a52f8011d7

特征描述：

TrojanDownloader.Icehart.w“冰之心”变种w是“冰之心”家族中的最新成员之一，采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“冰之心”变种w运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“ifcaqu.exe”并调用运行。该恶意程序运行后会通过命令将自身删除，以此达到消除痕迹的目的。其会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“system.exe”。将“%SystemRoot%\system32\”文件夹下的系统DLL组件“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“1.tmp”，然后通过其访问网络。后台连接骇客指定的远程站点“exe.a*8.com:8080/”，获取恶意程序下载列表，下载指定的恶意程序sc.png、ok.jpg、01.jpg、02.jpg等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，其会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：TrojanSpy.SpyEyes.bcc

中文名称：“谍之眼”变种bcc

病毒长度：896512字节

病毒类型：间谍木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：03f166543ffe1af905bb8d3678ac18e9

特征描述：

TrojanSpy.SpyEyes.bcc“谍之眼”变种bcc是“谍之眼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“谍之眼”变种bcc运行后，会自我复制到被感染计算机系统盘根目录的“asdfjnkads.exe\”文件夹下，重新命名为“asdfjnkads.exe”，还会在该文件夹下创建配置文件“config.bin”。其访问网络时会将恶意代码插入到“explorer.exe”等几乎所有的进程中隐秘运行，以此隐藏自我，防止被轻易地查杀。“谍之眼”变种bcc运行时，会在被感染系统的后台秘密监视用户的键盘输入，伺机窃取账号及密码等机密信息，并在后台将窃得的信息发送到骇客指定的远程站点“http://pof*itit.co.cc/tikuta/jaz2/muwy.php?guid=UserName!COMPUTERNAME!00CD1A40&ver=10299&stat=ONLINE&ie=6.0.2900.2180&os=5.1.2600&ut=Admin&plg=billinghammer;bugreport;creditgrab;ffcertgrabber;ftpbc;socks5&CPU=100&ccrc=1949FA0C&md5=03f166543ffe1af905bb8d3678ac18e9

”，从而对被感染系统用户的个人隐私等造成了不同程度的侵害。另外，“谍之眼”变种bcc还会隐藏系统盘的所有文件及文件夹，从而增强自身的隐蔽性。

英文名称：TrojanDownloader.FlyStudio.bqc

中文名称：“苍蝇贼”变种bqc

病毒长度：1448497字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：f7dd81fb0da9ce7d05a48668984840e4

特征描述：

TrojanDownloader.FlyStudio.bqc“苍蝇贼”变种bqc是“苍蝇贼”家族中的最新成员之一，采用“易语言”编写。“苍蝇贼”变种bqc运行后，会自我复制到被感染系统的“C:\WINDOWS\system32\B08BD5”文件夹下，重新命名为“1936A4.EXE”。在开始菜单”启动“文件夹中添加名为“9287CE”的快捷方式(指向自身副本)，以此实现开机自启。“苍蝇贼”变种bqc运行后，会在被感染系统的“C:\WINDOWS\system32\38F41C”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夹下分别释放e语言运行库“cnvpe.fne”、“fp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”、“RegEx.fne”、“shell.fne”、“spec.fne”。在“C:\WINDOWS\system32”文件夹下创建空目录4F3C8E、A5E1F6，用于记录指定的数据。其会秘密搜集被感染系统中指定的数据，然后将秘密窃得的信息发送到骇客指定的远程站点，从而对用户的个人隐私造成了不同程度的侵害。其还会从骇客指定的远程站点下载恶意程序并调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。