华军资讯提醒您：最近出现几种新的电脑病毒，危害网民，值得大家高度重视，以下是今天带来的最新病毒播报，希望大家加强防范，注意安全。另外在此提醒您，及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要，建议定期更新杀软病毒库，关注安全漏洞新闻。

英文名称：Trojan/VBS.zx

中文名称：“VBS傀儡”变种zx

病毒长度：76376字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：9ecc1bef464dc50985e94bb61ea39481

特征描述：

Trojan/VBS.zx“VBS傀儡”变种zx是“VBS傀儡”家族中的最新成员之一，采用“VBS”脚本语言编写。“VBS傀儡”变种zx运行时，会强行篡改系统注册表中的相关项，设置IE浏览器、遨游浏览器、360安全浏览器、Mozilla Firefox浏览器、搜狗浏览器的默认主页为骇客指定站点“http://www.zao*zhu.com/?my=0”，致使用户在开启浏览器后会自动访问该站点，从而为其增加了访问量，给骇客带来了非法的经济利益。在被感染系统的“%USERPROFILE%\Favorites”和“%USERPROFILE%\Favorites\链接”文件夹下释放恶意图标“4399小游戏”、“高清电影”、“无屏蔽搜索”、“百度搜索”、“起点小说”、“起点小说”、“网络创业秘籍”、“网址大全”，当用户点击这些图标则会链接到骇客指定的网站“www.mylo*ebs.com”的相关页面。在被感染系统的后台遍历当前系统中运行的所有进程，如果未发现某些指定的安全软件存在，“VBS傀儡”变种zx便会在“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下创建恶意脚本文件“360vbs.jse”来实现“%SystemRoot%\tctbmd.vbs”的自启动。若检测到系统内正在运行的进程中包含以下进程：“360sd.exe”、“360tray.exe”、“360rp.exe”、“360Safe.exe”，则会禁止这些程序访问网络，这样做的目的是防止云查杀，从而更好的保护自身。在桌面创建恶意图标“Internet Explorer.tt”和“特色购物.bt”，用户一旦点击则会连接到骇客指定的网站。另外，其还会在后台调用命令删除相关用户对这些文件的控制权限，致使用户不能轻易删除。

英文名称：TrojanDropper.Killav.es

中文名称：“AV杀手”变种es

病毒长度：46384字节

病毒类型：木马释放器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：4b68c7b4f292b68f40b9839d20404be6

特征描述：

TrojanDropper.Killav.es“AV杀手”变种es是“AV杀手”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“AV杀手”变种es运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“lqcyc52.cyc”，然后把“lqcyc52.cyc”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“setupapi.dll”。还会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“systemdebug.exe”。在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“AV杀手”变种es便会尝试将其强行关闭，从而达到自我保护的目的。“AV杀手”变种es运行时，会在被感染系统的后台连接骇客指定的站点“http://www.xb*ws.com/”，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，致使用户面临更多的威胁。另外，其会访问骇客指定的URL“www.b83965.com/get.asp?mac=00-0c-29-05-68-b1&ver=4.1”，以此对被感染系统进行数量统计。“AV杀手”变种es在运行完成后会创建批处理文件“test.bat”并在后台调用执行，以此将自身删除。

英文名称：Trojan/Fakeav.mml

中文名称：“伪杀鬼”变种mml

病毒长度：331776字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：00a7e807b808be0a0d30aa60709206a7

特征描述：

Trojan/Fakeav.mml“伪杀鬼”变种mml是“伪杀鬼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“伪杀鬼”变种mml运行后，会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Application Data\”文件夹下，重新命名为“ynv.exe”。然后会执行命令：“%USERPROFILE%\Local Settings\Application Data\ynv.exe”-gav %USERPROFILE%\桌面\Trojan.Fakeav.mml\00a7e807b808be0a0d30aa60709206a7.exe。其会释放一个名为“XP Home Security 2011”的假冒杀毒软件并调用运行。“XP Home Security 2011”运行后，会将正常的系统文件误报为病毒，以此诱骗用户进行付费注册，从而实现诈骗的目的。被感染系统用户不仅无法通过任务管理器来结束该软件，其运行时甚至还会屏蔽其它的安全软件，以此提高自身的生存几率，给被感染系统用户造成了不同程度的威胁和干扰。“伪杀鬼”变种mml访问网络时，会在被感染系统的后台调用IE浏览器“iexplore.exe”，并将恶意代码注入其中隐秘运行，以此隐藏自我，防止被轻易地查杀。如果被感染的计算机上已安装并启用了防火墙，则该木马便会利用防火墙的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。其还会查找名为“wscntfy.exe”的服务，找到后会试图将其删除，给被感染系统造成了更多的破坏。

英文名称：Backdoor/IRCBot.mtq

中文名称：“IRC波”变种mtq

病毒长度：51727字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：ace18e1c0fcd7f35b835de8065f4968c

特征描述：

Backdoor/IRCBot.mtq“IRC波”变种mtq是“IRC波”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“IRC波”变种mtq运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“wjdrive32.exe”。文件属性设置为“隐藏、只读”。“IRC波”变种mtq是一个后门程序，其会利用IRC协议(互联网中继聊天)与服务器“jjjjjj*press.net”建立连接，并与服务器进行命令交互，从而达到远程控制的目的。“IRC波”变种mtq可根据服务器发送的指令，以FTP和HTTP的方式下载恶意程序。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，会给用户造成不同程度的威胁。其还会执行对指定IP发动DDos攻击、向MSN联系人发送包含恶意程序的ZIP压缩包等操作，从而造成了更大的破坏和侵害。后台遍历当前系统正在运行的所有进程，如果发现某些指定的安全软件存在，“IRC波”变种mtq便会尝试将其强行关闭，从而达到自我保护的目的。将恶意代码插入到“explorer.exe”进程中隐秘运行。后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。“IRC波”变种mtq会在被感染系统注册表启动项中添加键值，以此实现自动运行。另外，其会查找被感染计算机用户的MSN联系人，并向其发送包含恶意程序的附件，以此实现自我传播。