特征描述：
Trojan/Clicker.sn"鞋匠"變種sn是"鞋匠"家族中的最新成員之一，采用"Microsoft Visual Basic 5.0 / 6.0"編寫。"鞋匠"變種sn運行后，會自我復制到被感染計算機系統(tǒng)的"C:Windows"文件夾下，重新命名為"auutr.exe"。還會在"%SystemRoot%system32"文件夾下釋放惡意程序"audtr.exe"并調用運行。"鞋匠"變種sn運行時，會下載配置文件"http://www.ah*tiankang.cn/sm2.txt"并保存為"setting.ini"。根據(jù)其中的設置，用戶在訪問特定的網(wǎng)站（例如"淘寶"、"當當"、"360buy"、"Google"等）時將會打開指定的廣告頁面，從而以此種方式牟取非法的經(jīng)濟利益。"鞋匠"變種sn還能鎖定用戶的IE瀏覽器主頁，并且會通過"http://www.ah*tiankang.cn/tongjism2/count.asp"進行被感染計算機的統(tǒng)計。另外，"鞋匠"變種sn會通過修改注冊表的方式實現(xiàn)開機自動運行。

英文名稱：Worm/AutoRun.hti
中文名稱："U盤寄生蟲"變種hti
病毒長度：110592字節(jié)
病毒類型：蠕蟲
危險級別：★★
影響平臺：Win 9X/ME/NT/2000/XP/2003
MD5 校驗：0b20f60290f46c13722a7c4637f052d1

特征描述：
Worm/AutoRun.hti"U盤寄生蟲"變種hti是"U盤寄生蟲"家族中的最新成員之一，采用"Borland Delphi"編寫，是一個由其它惡意程序釋放出來的DLL功能組件。"U盤寄生蟲"變種hti運行后，會清空"hosts"文件的內(nèi)容。連接指定頁面"http://www.ipshou*ou.com/bbs/mac.htm?"，反饋被感染系統(tǒng)的信息并獲取配置文件。試圖關閉大量指定安全軟件的進程，并且利用映像文件劫持功能干擾一些安全軟件的正常啟動。還會關閉"Windows 任務管理器"窗口，以此達到自我保護的目的。"U盤寄生蟲"變種hti會感染系統(tǒng)中"C:"到"G:"分區(qū)中存儲的".asp"、".htm"、".html"、".aspx"和".php"文件，并可能通過將自身添加為瀏覽器輔助對象的方式實現(xiàn)隨IE啟動而加載運行。

kuangmin