今日华军资讯从江民科技获悉，当前网络上出现了一种名为Win32/Otwycal.j“沃忒客”变种j的病毒，该病毒拥有超强破坏力的“四大罪状”：杀掉安全软件、删除系统备份、下载盗号木马、感染移动U盘，并且还会感染系统中的可执行格式文件，严重地干扰了被感染计算机用户对系统的正常使用，该病毒可以说是“五毒俱全”。接下来我们就详细介绍一下Win32/Otwycal.j“沃忒客”变种j病毒的详细档案和破坏力。　

　　一、病毒档案

　　Win32/Otwycal.j“沃忒客”变种j是“沃忒客”病毒家族中的最新成员之一，采用“Microsoft Visual C++”编写，并且经过加壳保护处理。“沃忒客”变种j是一个文件感染型病毒，运行后会感染系统中扩展名为“.exe”、“.com”、“.scr”等可执行格式的文件(但不会感染“%SystemRoot%\”及“C:\Program Files”目录下的文件以及“QQ.exe”及“QQDoctor.exe”)，由此可能会造成被感染的程序无法正常的运行，严重地干扰了被感染计算机用户对系统的正常使用。同时，还会感染“.htm”、“.asp”和“.xml”等类型的文件。

　　以下是该病毒档案：

　　英文名称：Win32/Otwycal.j

　　中文名称：“沃忒客”变种j

　　病毒长度：9032字节

　　病毒类型：Windows病毒

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：476f8ba41f54238ba132dec7b6c0b183

　　二、病毒破坏力

　　一般来说，普通的病毒木马往往只有一种破坏力，要么专门感染移动存储设备，要么专门盗取帐号密码。而“沃忒客”变种j病毒集各种破坏力于一身：不仅干掉杀毒软件、下载盗号木马，还删掉系统备份文件、感染移动存储设备，给被感染计算机用户造成了巨大的损失和不便。我们详细看一下该病毒的破坏力。　

　　1、杀安软

　　安全软件是病毒木马的天敌，为了躲避安全软件对自己的追杀，干掉安全软件是最有效的办法。“沃忒客”变种j病毒不仅通过加壳来躲避安软的监测，还自动搜索安软并强行结束其运行。它在被感染计算机的后台遍历当前系统中正在运行的所有进程，一旦发现指定的安全软件存在，便会尝试通过强行篡改系统日期、调用批处理指令等方式试图结束和干扰这些安全软件的正常运行，从而达到了自我保护的目的，提高了病毒自身的生存几率。“沃忒客”变种j会优先感染“%SystemRoot%\system32\”目录下的系统文件“spoolsv.exe”，并将正常文件备份到“%SystemRoot%\Tasks\”目录下重新命名为“SysFile.brk”，以此达到了自身随系统服务“Print Spooler”(打印服务)的启动而自动运行的目的。

　　2、删备份

　　对于计算机用户来说，中毒后的杀毒不仅耗时耗力，万一系统因此而崩溃，还要重新安装系统，那样需要花费更多的时间精力。因此许多用户喜欢在安装完新系统后用Ghost等备份软件给系统做一个备份，以防万一系统崩溃时直接用GHO备份文件快速恢复系统，这是一种解决病毒感染后遗症的快速有效的办法。但“沃忒客”变种j病毒也盯上了系统备份文件，它会删除扩展名为“.gho”的磁盘镜像备份文件，以此防止被感染计算机用户通过恢复系统的方式摆脱病毒的困扰，增加了病毒的顽固程度。可以说该病毒的这一招让许多用户一筹莫展，只能花时间去重装系统。

　　3、下木马

　　感染病毒不可怕，可怕的是病毒还要下木马。在感染用户的电脑后，为了增大破坏力，“沃忒客”变种j病毒还会在后台连接骇客指定的远程服务器站点“http://444.er1*.com/”，读取配置文件“config.txt”，根据配置文件中的信息下载其它恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件9 7 3 1 2 4 8 :

本文来源：华军资讯 作者：苏熠渊