英文名称：Backdoor/Krafcot.gz

中文名称：“垮屋”变种gz

病毒长度：135470字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：afe132aa6e2887a1079421b2d834088b

特征描述：

Backdoor/Krafcot.gz“垮屋”变种gz是“垮屋”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“垮屋”变种gz运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“jtks.exe”。“垮屋”变种gz访问网络时，会在被感染计算机的后台调用系统IE浏览器进程“iexplore.exe”，并把恶意代码注入其中隐秘运行，以此隐藏自我，防止被轻易地查杀。“垮屋”变种gz属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的站点“ma*66.3322.org”，获取客户端IP地址，侦听骇客指令，从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“垮屋”变种gz的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。“垮屋”变种gz在运行完成后会将自我删除，从而达到消除痕迹的目的。另外，“垮屋”变种gz会在被感染计算机中注册名为“hackfans”的系统服务，以此实现自动运行。

英文名称：Trojan/PSW.Taworm.ayp

中文名称：“毒它虫”变种ayp

病毒长度：100722字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：1b9f658e1ebafcbb53c4d53e435eb5d7

特征描述：

Trojan/PSW.Taworm.ayp“毒它虫”变种ayp是“毒它虫”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“毒它虫”变种ayp运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“zdziq.exe”。将恶意代码插入到“explorer.exe”进程中隐秘运行。后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。“毒它虫”变种ayp运行时，会在被感染系统的后台连接骇客指定的站点“show*82.com/twjm/”，下载恶意程序“show1982.jpg”、“show1982.bmp”、“show1982.gif”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。其还会秘密连接骇客指定的站点“www.ha*06.com”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“毒它虫”变种ayp完全远程控制被感染的计算机系统，从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。“毒它虫”变种ayp在运行完成后会将自我删除，从而达到消除痕迹的目的。另外，“毒它虫”变种ayp会通过在被感染系统注册表启动项中添加新键、修改登陆初始化内容的方式来实现自动运行。

英文名称：Trojan/Servstar.o

中文名称：“密服”变种o

病毒长度：98304字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：66644e29b16c9bccfcbec25fabde7cc0

特征描述：

Trojan/Servstar.o“密服”变种o是“密服”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“密服”变种o运行后，会在被感染系统内提升自身权限为“SeBackupPrivilege”。在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现“RavMonD.exe”存在，则会弹出标题和类名都为“Kingsoft”的窗口。“密服”变种o运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意程序“wi469343nd.temp”。遍历当前系统中所运行的进程，如果存在“avp.exe”则把“wi469343nd.temp”复制到“%programfiles%\”文件夹下，重新命名为“tqfisi.exe”。如果不存在“avp.exe”，则把“wi469343nd.temp”复制到“%programfiles%\”文件夹下，重命名为“svchost.scr”。“密服”变种o运行时，会秘密连接骇客指定的站点“3.kil*bc.com”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“密服”变种o完全远程控制被感染的计算机系统，从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。“密服”变种o在运行完成后会创建批处理文件“afc9fe2f418b00a0.bat”并在后台调用执行，以此将自身删除。另外，“密服”变种o会在被感染计算机中注册名为“MSUpdqtejtp”的系统服务，以此实现自动运行。

英文名称：Backdoor/IRCBot.mpi

中文名称：“IRC波”变种mpi

病毒长度：39829字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：b81a119c321306c4ed6b138f77ae50c2

特征描述：

Backdoor/IRCBot.mpi“IRC波”变种mpi是“IRC波”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“IRC波”变种mpi运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“ggdrive32.exe”，在“%USERPROFILE%\”文件夹下释放“hdcd.exe”和“hddd.exe”，还会在系统盘根目录下新建名为“\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\”和“\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\”的文件夹，并分别在其中释放恶意程序“acleaner.exe”和“syitm.exe”。“IRC波”变种mpi属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的站点“hub3.t*ame.com”、“twona*raoi.com”、“dqja*mes7.com”、“www.coo*sy.com”、“hub3fifa*tgame.com”，获取客户端IP地址，侦听骇客指令，从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动。还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“IRC波”变种mpi的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。