特征描述：
Trojan/Vilsel.axa"危鬼"變種axa是"危鬼"家族中的最新成員之一，經(jīng)過加殼保護(hù)處理。"危鬼"變種axa運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"kb*.dll"。還會(huì)生成"wsconfig.db"保存該DLL
文件名，并且在"%SystemRoot%system32drivers"文件夾下釋放記錄收信地址的配置文件"MSnoipds.dat"。"危鬼"變種axa會(huì)篡改系統(tǒng)文件"imm32.dll"，并通過正常程序?qū)Ρ桓腥镜?quot;imm32.dll"的調(diào)用實(shí)現(xiàn)惡意文件的運(yùn)行。上述安裝完成后，原病毒程序會(huì)將自我刪除，以此消除痕跡。"危鬼"變種axa是一個(gè)專門盜取"地下城與勇士 Online"網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，其會(huì)插入游戲進(jìn)程"dnfchina.exe"或"dnf.exe"中，利用消息鉤子、內(nèi)存截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)等信息，并在后臺(tái)將竊得的機(jī)密信息發(fā)送到駭客指定的收信頁面"http://aiyo.bai*du66.cn:8881/semi-sweet/linux.asp"等上，致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。

英文名稱：Backdoor/IRCBot.hyp
中文名稱："IRC波"變種hyp
病毒長度：130048字節(jié)
病毒類型：后門
危險(xiǎn)級(jí)別：★★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：2e775c7fab9899639b0a7fca1c32e082

特征描述：
Backdoor/IRCBot.hyp"IRC波"變種hyp是"IRC波"家族中的最新成員之一。"IRC波"變種hyp運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"spupdsvc32.exe"，文件屬性設(shè)置為"系統(tǒng)、隱藏、只讀"。"IRC波"變種hyp利用IRC協(xié)議（互聯(lián)網(wǎng)中繼聊天）進(jìn)行通訊，具有遠(yuǎn)程控制功能。其會(huì)與IRC服務(wù)器"doublelunch.is-a-chef.net:443"或"myvacations.sytes.net:443"建立連接，并根據(jù)服務(wù)器傳送的指令，實(shí)現(xiàn)各種功能的控制操作，其中包括下載惡意程序、竊取FTP文件、掃描指定IP及端口、發(fā)動(dòng)DDos攻擊、鍵盤記錄、屏幕截圖、進(jìn)程管理、文件共享、郵件傳播等操作，會(huì)對(duì)用戶造成嚴(yán)重的損害。"IRC波"變種hyp還會(huì)關(guān)閉被感染系統(tǒng)的錯(cuò)誤報(bào)告服務(wù)，并在多個(gè)注冊(cè)表啟動(dòng)項(xiàng)位置添加鍵值"Update RunOnce Service"，以此實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行。

kuangmin