01月16日病毒播报：“视频宝宝”变种toh和“劈啪斯”变种

在今天的病毒中TrojanDropper.VB.toh“视频宝宝”变种toh和Trojan/PSW.Papras.qd“劈啪斯”变种qd值得关注。
英文名称：TrojanDropper.VB.toh
中文名称：“视频宝宝”变种toh
病毒长度：102400字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：1da4e0900615d631d66159ec3c908250
特征描述：
    TrojanDropper.VB.toh“视频宝宝”变种toh是“视频宝宝”家族中的最新成员之一，采用“VB6.0”编写。“视频宝宝”变种toh运行后，会在被感染系统的“c:\program files\common files”文件夹下释放图标文件“t.ico”和“d.ico”，同时设置“系统、隐藏”属性。在当前用户桌面上释放伪装成快捷方式的脚本文件internet explorer.hdh、在线小游戏.hyx、看电影.hpf、网上购物.htb、上网导航.h35、图片新闻.hli，设置“系统、只读”属性，同时还会将这些文件复制到“c:\Documents and Settings\All Users\[开始] 菜单\”文件夹下。其还会在C盘等位置创建恶意文件Internet Explorer.hdh、168e2j.exe、网聚.exe、jie.bak.vbs。在注册表中为释放的恶意文件创建关联属性，以此实现双击时自动访问骇客指定站点“http://www.hen*cuo.com/?1121”、“http://www.d*d.com/?1121”、“http://www.pia*ang.net/?1121”、“http://taobao.lo*so.com/?1121”、“http://www.3*s.com/?1121”、“http://www.lo*so.com/?1121”的目的，从而为骇客带来了非法的经济利益。另外，“视频宝宝”变种toh还会在系统中安装名为“风影影视”的软件，从而为这些软件增加安装量。“视频宝宝”变种toh还具有进程守护功能，当发现主程序被调试便会强行结束。另外，“视频宝宝”变种toh在完成上述恶意操作后，会释放恶意脚本文件并调用运行，以此将自身删除。

英文名称：Trojan/PSW.Papras.qd
中文名称：“劈啪斯”变种qd
病毒长度：19841字节
病毒类型：盗号木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：4707750dc678db7707ae734904a17f76
特征描述：
    Trojan/PSW.Papras.qd“劈啪斯”变种qd是“劈啪斯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“劈啪斯”变种qd运行后，会调用系统程序“sc.exe”并执行命令“sc delete darkness”。自我复制到被感染系统的“%SystemRoot%\system\”文件夹下，重新命名为“dwm.exe”。“劈啪斯”变种qd运行时，会在被感染系统的后台秘密窃取系统中的机密信息，并在后台将窃得的信息发送到骇客指定的远程站点“de*ro.jino.ru”，从而给被感染系统用户造成了不同程度的损失。另外，“劈啪斯”变种qd会在被感染计算机中注册名为“darkness”的系统服务，以此实现开机自动运行。

 

标签分类：