英文名称：TrojanSpy.Zbot.xwh

中文名称：“砸波”变种xwh

病毒长度：130560字节

病毒类型：间谍木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：4c67656e41d5e0051a74d81e4dfbf1e6

特征描述：

TrojanSpy.Zbot.xwh“砸波”变种xwh是“砸波”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“砸波”变种xwh运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“sdra64.exe”。在“%SystemRoot%\system32\lowsec\”文件夹下释放恶意程序“user.ds.lll”、“user.ds”、“local.ds”。结束被感染系统的“smss.exe”进程，并将恶意代码注入到“winlogon.exe”进程中隐秘运行。后台遍历当前系统中运行的所有进程，一旦发现指定的安全软件存在，“砸波”变种xwh便会尝试将其结束，从而更好的实现自我保护。在被感染系统的后台秘密窃取系统中的机密信息(计算机配置、银行卡密码、浏览网页的账号密码等)，并在后台将窃得的信息发送到骇客指定的远程站点或邮箱里(地址加密存放)，给被感染系统用户造成了不同程度的损失。后台连接骇客指定的远程站点“stomaid.ru”，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“砸波”变种xwh会在被感染系统注册表启动项中修改指定键值(userinit)，以此实现开机自动运行。

英文名称：TrojanDownloader.Icehart.ag

中文名称：“冰之心”变种ag

病毒长度：125952字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：c7b1bdb3df48875b922d98bffdae01d7

特征描述：

TrojanDownloader.Icehart.ag“冰之心”变种ag是“冰之心”家族中的最新成员之一，采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“冰之心”变种ag运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“system.exe”。在“%SystemRoot%\system32\”文件夹下释放恶意程序“hhrlnn.exe”，并在后台调用命令运行。该恶意程序运行后会将自身删除，以此消除痕迹。“hhrlnn.exe”运行时，会把“%SystemRoot%\system32\wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“1.tmp”，然后通过其访问网络。在被感染系统的后台连接骇客指定的远程站点“e13.n*bo.com:8080/”，获取恶意程序下载列表，然后下载指定的恶意程序sc.png等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，其会在桌面上创建快捷方式“免费电影C”、“改变你的一生”、“淘宝购物A”，以此指向骇客指定的站点“www.sf*08.com/taobao.htm”，从而提高了网站的访问量，给骇客带来了非法的经济利益。另外，“冰之心”变种ag会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

英文名称：Backdoor/Huigezi.abzh

中文名称：“灰鸽子”变种abzh

病毒长度：417374字节

病毒类型：后门

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：4d7737010758711e7ff9a37677ef3476

特征描述：

Backdoor/Huigezi.abzh“灰鸽子”变种abzh是“灰鸽子”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“灰鸽子”变种abzh运行后，会自我复制到被感染系统的“%SystemRoot%\”和“%programfiles%\”文件夹下，重新命名为“WindowsUpdate.exe”(文件属性设置为“系统、隐藏”)。“灰鸽子”变种abzh运行后，会检测被感染系统“%SystemRoot%\system32\drivers\”文件夹下是否存在名为“klif.sys”的驱动文件。运行iexplore.exe进程，通过API函数“ZwUnmapViewOfSection”获取IE进程的基址，之后申请内存空间，并将恶意代码注入到其中隐秘运行。秘密连接骇客指定的站点“su*hen.3322.org”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“灰鸽子”变种abzh完全远程控制被感染的计算机系统，从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。“灰鸽子”变种abzh的原病毒程序在运行完成后会将自我删除，以此消除痕迹。另外，其会通过新建名为“WindowsUpdate”的服务的方式实现开机自启。

英文名称：Backdoor/Inject.vy

中文名称：“植木马器”变种vy

病毒长度：94131字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：a02779da9b884e5879f9122cca57ab3f

特征描述：

Backdoor/Inject.vy“植木马器”变种vy是“植木马器”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“植木马器”变种vy运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“ggfps.exe”。该后门会将恶意代码插入到“explorer.exe”等几乎所有的进程中隐秘运行，以此隐藏自我，防止被轻易地查杀。“植木马器”变种vy运行时，会在被感染系统的后台秘密监视用户的键盘输入，窃取用户输入的账号及密码等机密信息，并在后台将窃得的信息发送到骇客指定的远程站点或邮箱里(地址加密存放)，给被感染计算机用户造成了不同程度的损失。后台连接骇客指定的远程站点“http://chid*le.com/twchi/”，下载恶意程序“chidoule.gif”、“chidoule.jpg”、“chidoule.bmp”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，“植木马器”变种vy会在被感染系统注册表启动项中修改登陆初始化内容(userinit)，以此实现开机自启。