华军资讯提醒您：最近出现几种新的电脑病毒，危害网民，值得大家高度重视，以下是今天带来的最新病毒播报，希望大家加强防范，注意安全。另外在此提醒您，及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要，建议定期更新杀软病毒库，关注安全漏洞新闻。

英文名称：TrojanDropper.VB.uyc

中文名称：“视频宝宝”变种uyc

病毒长度：102400字节

病毒类型：木马释放器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：23d4edc2b2b13bd0b73cbd9b198fdac0

特征描述：

TrojanDropper.VB.uyc“视频宝宝”变种uyc是“视频宝宝”家族中的最新成员之一，采用“VB6.0”编写。“视频宝宝”变种uyc运行后，会在被感染系统的“c:\program files\common files”文件夹下释放图标文件“t.ico”和“d.ico”，在桌面和“c:\Documents and Settings\All Users\[开始] 菜单\”文件夹下释放“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35”、“图片新闻.hli”，同时会为这些文件设置相关属性，从而防止被轻易地删除。在“c:\Program Files”下释放“ZD37TA.exe”，还会在当前目录下释放“网聚.exe”和“jies.bak.vbs”。在注册表中为“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等类型文件建立关联信息，并修改默认图标，从而为这些文件增强了迷惑性。当用户双击这些文件时，会通过IE浏览器自动访问“http://www.hen*cuo.com/?1121 ”、“http://www.d*d.com/?1121”、“http://www.pi*ang.net/?1121”、“http://taobao.l*so.com/?1121”、“http://www.3*s.com/?1121”、“http://www.l*so.com/?1121”，从而增加了访问量。另外，其还会在计算机系统中安装被称为“风影影视”的软件，为其增加了装机量。其释放的“网聚.exe”运行后会弹出一些指定的网站。另外，“视频宝宝”变种uyc在运行完成后会创建脚本文件并调用运行，以此将自身删除。

英文名称：Trojan/Refroso.imc

中文名称：“毒露水”变种imc

病毒长度：93696字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：9c17add7a15f459fe090e622da3ad64f

特征描述：

Trojan/Refroso.imc“毒露水”变种imc是“毒露水”家族中的最新成员之一，采用“Microsoft CAB SFX”编写。“毒露水”变种imc运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\IXP000.TMP\”文件夹下释放恶意程序“i-2.exe”并调用运行。“i-2.exe”执行后，会自我复制到“%programfiles%\Bifrost\”文件夹中，重新命名为“server.exe”，属性设置成为“隐藏”。“server.exe”属于反向连接木马程序，其会在被感染系统的后台连接骇客指定的站点“jeedo.za*to.org”，获取客户端IP地址，侦听骇客指令，从而达到被骇客远程控制的目的。该木马具有远程监视、控制等功能，可以监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“毒露水”变种imc的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。“毒露水”变种imc访问网络时，会在被感染计算机的后台调用系统IE浏览器进程“iexplore.exe”，并把恶意代码注入其中隐秘运行，以此隐藏自我，防止被轻易地查杀。如果被感染的计算机上已安装并启用了防火墙，则该木马会利用防火墙的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。“毒露水”变种imc会在被感染系统注册表启动项中添加键值，以此实现开机自启。

英文名称：Trojan/Chifrax.afr

中文名称：“橘色诱惑”变种afr

病毒长度：251864字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：a9b47caafe5d562dd9c5345bd05bcf95

特征描述：

Trojan/Chifrax.afr“橘色诱惑”变种afr是“橘色诱惑”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“橘色诱惑”变种afr运行后，会在被感染系统的“%SystemRoot%\Temp\”文件夹下释放恶意文件“server.exe”和恶意脚本文件“Setup.vbs”。通过“Setup.vbs”来启动进程“server.exe”。“server.exe”运行后，会在系统盘根目录下释放恶意DLL组件“file.tmp”，然后提升自身权限，将恶意代码注入到系统进程“winlogon.exe”中。调用系统DLL组件“sfc.dll”中的2号函数，把“%SystemRoot%\system32\dllcache\”、“%SystemRoot%\\ServicePackFiles\i386\”、“%SystemRoot%\system32\”文件夹下的系统DLL“qmgr.dll”移动到“%SystemRoot%\”文件夹下，重新命名为“dll.bak”。之后，会将“file.tmp”复制到“%SystemRoot%\system32\dllcache\”、“%SystemRoot%\ServicePackFiles\i386\”、“%SystemRoot%\system32\”文件夹下，重新命名为“qmgr.dll”，以此替换系统文件。之后，其会删除“file.tmp”和系统盘根目录下的“sfc.exe”。“server.exe”运行时，会秘密连接骇客指定的服务器“cr*cn.kmip.net”，侦听骇客指令，在被感染的计算机上执行相应的恶意操作。骇客可通过“橘色诱惑”变种afr完全远程控制被感染的系统，不仅使系统用户的个人隐私面临着严重的威胁，甚至还会威胁到企业的商业机密。“server.exe”在运行完成后会将自我删除，从而达到消除痕迹的目的。其会通过修改系统已有服务“BITS”的方式实现自动运行。

英文名称：Backdoor/PcClient.rma

中文名称：“友好客户”变种rma

病毒长度：65281字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：502d31b7b2d607e900a31ae140b6a9bd

特征描述：

Backdoor/PcClient.rma“友好客户”变种rma是“友好客户”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“友好客户”变种rma运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“jnojbe.dll”和恶意文件“000046613.001”。将“jnojbe.dll”插入到被感染系统的“svchost.exe”进程中隐秘运行。后台执行相应的恶意操作，以此隐藏自我，防止被轻易地查杀。其会在被感染系统的后台连接骇客指定的站点“longxing.idc*0.net.cn/wen/”，读取配置文件“wen.txt”，然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，给用户造成了不同程度的损失。秘密连接骇客指定的服务器，侦听骇客指令，在被感染的计算机上执行相应的恶意操作。骇客可通过“友好客户”变种rma完全远程控制被感染的计算机系统，不仅使系统用户的个人隐私面临着严重的威胁，甚至还会威胁到企业的商业机密。“友好客户”变种rma在运行完成后会创建批处理文件并在后台调用执行，以此将自身删除。另外，“友好客户”变种rma会在被感染计算机中注册名为“svchosts”的系统服务，以此实现自动运行。