在今天的病毒里，需要谨慎防范“伪程序”变种cbu和“毒它虫”变种ayi。 英文名称：Trojan/Antavmu.cbu 中文名称：“伪程序”变种cbu 病毒长度：32844字节 病毒类型：木马 危险级别：★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 MD5 校验：ad3e572a874a0a57f88ba48b829e9f37 特征描述： Trojan/Antavmu.cbu“伪程序”变种cbu是“伪程序”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“伪程序”变种cbu运行后，会执行命令“cacls.exe %SystemRoot%\system32\cmd.exe /e /t /g everyone:F”来赋予所有用户对cmd.exe的控制权限。将被感染系统“%programfiles%\360safe\safemon\”文件夹下的DLL组件“safemon.dll”重命名为“safemes.dll”，将“%programfiles%\Rising\AntiSpyware\”文件夹下的DLL组件“ieprot.dll”重命名为“iepret.dll”。删除“%SystemRoot%\system32\”文件夹下的旧版本病毒文件“ttjj34.ini”、“SoundMan.exe”、“zozz.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe”。还会强行关闭服务“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“Norton AntiVirus Server”。创建进程快照，如果发现名为“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”的进程，“伪程序”变种cbu则会试图强行结束该进程。其会在被感染计算机系统的“%SystemRoot%\”文件夹下释放恶意程序“BarClientServer.exe”，在“%SystemRoot%\system32\”文件夹下释放“inertno.exe”，并将以上文件属性设置为“系统、隐藏”。在“%SystemRoot%\system32\”文件夹下释放配置文件“ttjj34.ini”。在被感染系统的后台连接骇客指定的站点“www.caif*678.cn:81/rc/xms/”，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。在被感染系统中新建名为“new1”、密码为“12369”的用户，为骇客留下后门，致使被感染系统可被不法分子远程登录、控制，进而沦为攻击跳板或肉鸡。“伪程序”变种cbu在被感染系统中安装完毕后，会创建批处理文件“2.bat”并在后台调用执行，以此将自身删除。另外，其会通过修改已有服务“helpsvc”的方式实现自动运行。 英文名称：Trojan/PSW.Taworm.ayi 中文名称：“毒它虫”变种ayi 病毒长度：102297字节 病毒类型：盗号木马 危险级别：★ 影响平台：Win 9X/ME/NT/2000/XP/2003 MD5 校验：2531aeb50badef721d4ee127fbebd3dc 特征描述：

Trojan/PSW.Taworm.ayi“毒它虫”变种ayi是“毒它虫”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“毒它虫”变种ayi运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“yyrug.exe”。将恶意代码插入到“explorer.exe”进程中隐秘运行，在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。其会在被感染系统的后台连接骇客指定的站点“www.liu*88.com/twtmw/”，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。其还会连接骇客指定的网站“www.ha*06.com”，并访问指定的挂马页面，从而给用户造成了更多的安全隐患。“毒它虫”变种ayi是一个专门盗取网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视系统所运行程序的窗口标题，一旦发现指定程序启动，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“毒它虫”变种ayi会在被感染系统注册表启动项中添加键值，以此实现自动运行。

在今天的病毒里，需要谨慎防范“伪程序”变种cbu和“毒它虫”变种ayi。 英文名称：Trojan/Antavmu.cbu 中文名称：“伪程序”变种cbu 病毒长度：32844字节 病毒类型：木马 危险级别：★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 MD5 校验：ad3e572a874a0a57f88ba48b829e9f37 特征描述： Trojan/Antavmu.cbu“伪程序”变种cbu是“伪程序”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“伪程序”变种cbu运行后，会执行命令“cacls.exe %SystemRoot%\system32\cmd.exe /e /t /g everyone:F”来赋予所有用户对cmd.exe的控制权限。将被感染系统“%programfiles%\360safe\safemon\”文件夹下的DLL组件“safemon.dll”重命名为“safemes.dll”，将“%programfiles%\Rising\AntiSpyware\”文件夹下的DLL组件“ieprot.dll”重命名为“iepret.dll”。删除“%SystemRoot%\system32\”文件夹下的旧版本病毒文件“ttjj34.ini”、“SoundMan.exe”、“zozz.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe”。还会强行关闭服务“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“Norton AntiVirus Server”。创建进程快照，如果发现名为“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”的进程，“伪程序”变种cbu则会试图强行结束该进程。其会在被感染计算机系统的“%SystemRoot%\”文件夹下释放恶意程序“BarClientServer.exe”，在“%SystemRoot%\system32\”文件夹下释放“inertno.exe”，并将以上文件属性设置为“系统、隐藏”。在“%SystemRoot%\system32\”文件夹下释放配置文件“ttjj34.ini”。在被感染系统的后台连接骇客指定的站点“www.caif*678.cn:81/rc/xms/”，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。在被感染系统中新建名为“new1”、密码为“12369”的用户，为骇客留下后门，致使被感染系统可被不法分子远程登录、控制，进而沦为攻击跳板或肉鸡。“伪程序”变种cbu在被感染系统中安装完毕后，会创建批处理文件“2.bat”并在后台调用执行，以此将自身删除。另外，其会通过修改已有服务“helpsvc”的方式实现自动运行。 英文名称：Trojan/PSW.Taworm.ayi 中文名称：“毒它虫”变种ayi 病毒长度：102297字节 病毒类型：盗号木马 危险级别：★ 影响平台：Win 9X/ME/NT/2000/XP/2003 MD5 校验：2531aeb50badef721d4ee127fbebd3dc 特征描述：

Trojan/PSW.Taworm.ayi“毒它虫”变种ayi是“毒它虫”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“毒它虫”变种ayi运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“yyrug.exe”。将恶意代码插入到“explorer.exe”进程中隐秘运行，在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。其会在被感染系统的后台连接骇客指定的站点“www.liu*88.com/twtmw/”，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。其还会连接骇客指定的网站“www.ha*06.com”，并访问指定的挂马页面，从而给用户造成了更多的安全隐患。“毒它虫”变种ayi是一个专门盗取网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视系统所运行程序的窗口标题，一旦发现指定程序启动，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“毒它虫”变种ayi会在被感染系统注册表启动项中添加键值，以此实现自动运行。