特征描述：
Trojan/Vilsel.dz"危鬼"變種dz是"危鬼"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫，經(jīng)過加殼保護處理。"危鬼"變種dz運行后，會自我復制到被感染系統(tǒng)的"%SystemRoot%system32"目錄下，重新命名為"scvhost.exe"。在該目錄下釋放惡意DLL組件"*.dll"，文件名隨機。另外還會在"%SystemRoot%"、"%SystemRoot%system32drivers"目錄下分別釋放惡意程序，并復制系統(tǒng)文件"wininet.dll"到臨時文件夾下以供調用。利用其釋放的惡意驅動程序，"危鬼"變種dz可以穿透一些系統(tǒng)還原程序的保護，并用惡意文件覆蓋"explorer.exe"。其會用正常的"explorer.exe"替換"%SystemRoot%system32driversgm.dls"，之后將其復制到"%SystemRoot%TEMPexplorer.exe"，通過對該文件進行調用，使得用戶開機時能夠正常顯示桌面，以此蒙蔽了用戶。其會監(jiān)視并關閉可能彈出的"Windows文件保護"窗口，從而使其在替換系統(tǒng)文件時不被用戶所發(fā)現(xiàn)。"危鬼"變種dz運行時，會關閉并禁用系統(tǒng)防火墻、Windows安全中心服務。關閉安全軟件的自我保護功能，終止大量的安全軟件、系統(tǒng)工具、應用程序的進程，同時還會通過關閉相關的服務、刪除關鍵文件、利用注冊表映像劫持等方式，干擾這些安全軟件的正常運行，致使用戶的計算機失去保護。在被感染系統(tǒng)的后臺連接經(jīng)過多次解密后得到的URL"http://ll800.kmi*.net/88.txt"，讀取該文件中存放的下載地址，然后下載惡意程序并自動調用運行。其中，所下載的惡意程序可能為網(wǎng)絡游戲盜號木馬、遠程控制木馬、廣告程序等，致使用戶面臨更多的威脅。另外，其還會向駭客指定的頁面"http://liuliang.qvodcnz*.com/tj/v7/count.asp"反饋被感染計算機的基本信息。"危鬼"變種dz會在被感染系統(tǒng)注冊表啟動項中添加鍵值"360safe"，以此實現(xiàn)開機自動運行。

英文名稱：Backdoor/KBot.mo
中文名稱："K波"變種mo
病毒長度：25600字節(jié)
病毒類型：后門
危險級別：★
影響平臺：Win 9X/ME/NT/2000/XP/2003
MD5 校驗：1a4552499beaa0b561f4884af892d583

特征描述：
Backdoor/KBot.mo"K波"變種mo是"K波"家族中的最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護處理。"K波"變種mo運行后，會自我復制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"mssrv32.exe"。創(chuàng)建"svchost.exe"進程，將惡意代碼注入其中隱秘運行，同時隱藏該進程，致使用戶無法通過"Windows任務管理器"發(fā)現(xiàn)。"K波"變種mo可能會監(jiān)聽用戶的網(wǎng)絡通信，竊取敏感信息并發(fā)送到駭客指定的服務器上。同時，其還會向"http://atatat*.org/black/stat.php"反饋用戶的感染情況。另外，"K波"變種mo會在被感染計算機中注冊名為"msupdate"的系統(tǒng)服務，以此實現(xiàn)后門的開機自啟。

kuangmin