您现在的位置：一起杀毒网 > 病毒快报 > “X疙瘩”变种aq和“塞沃斯”木马下载器变种cb值得关注

“X疙瘩”变种aq和“塞沃斯”木马下载器变种cb值得关注

信息来源：江民科技作者：管理员添加日期：2010-03-4 11:42 【大中小】

核心提示：“X疙瘩”变种aq和“塞沃斯”木马下载器变种cb值得关注。“X疙瘩”变种aq删除“IE浏览器桌面图标”，然后在当前桌面上创建一个仿冒的“IE浏览器快捷方式”。

文档标签：不一样的精品电子杂志塞沃斯 X疙瘩木马木马下载器

英文名称：TrojanDownloader.Xanda.aq

中文名称：“X疙瘩”变种aq

病毒长度：24425字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：d2121a2ba665d1100ad7a4bfb536c604

特征描述：

TrojanDownloader.Xanda.aq“X疙瘩”变种aq是“X疙瘩”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。

“X疙瘩”变种aq运行后，会在被感染系统的后台执行命令“taskkill /f /im rstray.exe”，以此试图关闭某安全软件的进程，从而达到自我保护的目的。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下重新命名为“bts32.exe”。同时，还会在系统“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“bts32.dll”（文件信息经过伪装），并将其注册为BHO，以此实现随IE浏览器一同加载运行的目的。删除“IE浏览器桌面图标”，然后在当前桌面上创建一个仿冒的“IE浏览器快捷方式”。通过该快捷方式启动的IE会自动打开骇客指定的站点“www.d*007.net.cn”，从而增加了其访问量。

“X疙瘩”变种aq会在被感染系统的后台连接骇客指定的站点“http://97f*ihu.com/”，下载恶意程序“download3.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，其会访问骇客指定的网页地址“http://20099qq.com.cn/?shouye?mac=2-4-10-140-58-119-94-66-62-218-252-25&ver=1.0”，以此对被感染系统进行数量统计。

“X疙瘩”变种aq会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。另外，其安装程序在运行完毕后会自我删除，以此达到消除痕迹的目的。

英文名称：TrojanDownloader.Selvice.cb

中文名称：“塞沃斯”变种cb

病毒长度：24576字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：7c05b335045d6f3bf26b19a0b0584490

特征描述：

TrojanDownloader.Selvice.cb“塞沃斯”变种cb是“塞沃斯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“塞沃斯”变种cb木马下载器的安装程序在安装完毕后，会通过创建批处理文件并在后台调用的方式将自身删除，以此消除痕迹。

“塞沃斯”变种cb运行后，会在被感染系统的后台尝试使用“PING”命令来判断网络是否联通。如果联通则继续执行后面的操作。

“塞沃斯”变种cb运行时，会在被感染系统的后台连接骇客指定的远程站点“http://www.del*tall-wz.com.cn”，下载恶意程序“/sports/image.jpg、/news/image.jpg、/files/image.jpg、/nba/image.jpg”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

注：一起杀毒网（17Shadu.com）建议您，在计算机重新启动的时候按“F8”键进入“带网络的系统安全模式”然后使用一起杀毒网（17Shadu.com）为您提供的在线杀毒功能，进行更彻底的扫描与清除。如果您有什么问题需要帮忙，可以加入我们的QQ高级群“一起DIY（群号：61523376）”和大家一起讨论解决问题。

瑞星免费在线杀毒

江民免费在线杀毒