英文名称：Trojan/Fakeav.hvw

中文名称：“伪杀鬼”变种hvw

病毒长度：30208字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：b8f4ac521d98ae8cca727cb6aef4d6bf

特征描述：

Trojan/Fakeav.hvw“伪杀鬼”变种hvw是“伪杀鬼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“伪杀鬼”变种hvw运行后，会自我复制到被感染计算机系统盘根目录下的“S-1-5-21-0243556031-888888379-781863308-1343\”文件夹下，重新命名为“jwjqa.exe”。还会在该文件夹下释放配置文件“Desktop.ini”，并将以上文件的属性设置为“系统、隐藏、只读”。遍历当前系统中的所有进程，一旦发现某些安全软件的进程(MSASCui.exe、msseces.exe)存在，便会尝试将其结束，致使系统失去安全软件的保护。将恶意代码插入到“explorer.exe”进程中隐秘运行，以此隐藏自我，防止被轻易地查杀。后台连接骇客指定的远程站点“tf18.tef*ame.com”，获取配置文件(数据加密，文件内容包括病毒的版本号、更新日期、恶意网站地址等)，然后根据其中的设置执行相应的恶意操作。其会将自身作为电子邮件附件发送给指定的E-mail地址，从而实现了自我传播。另外，“伪杀鬼”变种hvw会在被感染系统注册表启动项中添加键值“HKEY_CURRENT_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman”，以此实现开机自动运行。

英文名称：Trojan/PSW.Bjlog.bcz

中文名称：“绑架犯”变种bcz

病毒长度：225988字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：a28e42730212fc69bf61f73004419617

特征描述：

Trojan/PSW.Bjlog.bcz“绑架犯”变种bcz是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“绑架犯”变种bcz运行后，会自我复制到被感染计算机系统的指定文件夹下，重新命名为“fnunshqpxr”。之后向“fnunshqpxr”中添加恶意代码，并在后台调用命令运行。“绑架犯”变种bcz会在被感染系统的后台连接骇客指定的远程站点“ww*uhu.3322.org”，获取客户端IP地址，侦听骇客指令，从而达到被骇客远程控制的目的。其具有远程监视、控制等功能，可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“绑架犯”变种bcz的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，其还会对指定网站进行访问。“绑架犯”变种bcz在运行完成后会将自身删除，以此消除痕迹。

英文名称：Trojan/Pincav.jkp

中文名称：“恶推客”变种jkp

病毒长度：108032字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：c0d1e0dcbe1e767a4fc0a7e45683f1af

特征描述：

Trojan/Pincav.jkp“恶推客”变种jkp是“恶推客”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“恶推客”变种jkp运行后，会自我复制到被感染系统的“%USERPROFILE%\Application Data”文件夹下，重新命名为“nlwyet.exe”(文件属性设置为“系统、隐藏、只读”)。“恶推客”变种jkp属于反向连接木马程序，其会在被感染系统的后台连接骇客指定的远程站点“jebena.an*kolic.su”、“peer.picke*sarske.ru”、“teske.por*carke.com”、“92.241.*.237”、“juice.losmi*cala.org”，获取客户端IP地址，侦听骇客指令，从而达到被远程控制的目的。该木马具有远程监视、控制等功能，可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的信息安全、个人隐私甚至是商业机密构成严重的威胁。感染了“恶推客”变种jkp的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，“恶推客”变种jkp会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

英文名称：TrojanSpy.Zbot.ycv

中文名称：“砸波”变种ycv

病毒长度：123904字节

病毒类型：间谍木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：8b45fefdbf94c9fc9ae973de7f6a72fb

特征描述：

TrojanSpy.Zbot.ycv“砸波”变种ycv是“砸波”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“砸波”变种ycv运行后，会自我复制到被感染系统的“%USERPROFILE%\Application Data\Hitea\”文件夹下，重新命名为“ozza.exe”。还会在“%USERPROFILE%\Application Data\Nuila\”文件夹下释放恶意文件“golaw.tmp”。“砸波”变种ycv运行时，会在被感染系统的后台秘密监视用户的键盘输入，窃取用户输入的账号及密码等机密信息，并在后台将窃得的信息发送到骇客指定的远程站点“officeu*tes0.com”，给被感染计算机用户造成了不同程度的损失。后台连接骇客指定的远程服务器站点，下载恶意程序并自动调用运行。其下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，会给用户造成不同程度的损失。“砸波”变种ycv在被感染计算机系统中安装完毕后，会通过创建批处理文件“tmp9f6382a3.bat”并调用执行的方式来将自身删除，以此消除痕迹。另外，其会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。