江民10.5病毒播报：U盘寄生虫和焦点间谍

　　江民今日提醒您注意：在今天的病毒中Worm/AutoRun.sa“U盘寄生虫”变种sa和TrojanSpy.Pophot.bhc“焦点间谍”变种bhc值得关注。

　　英文名称：Worm/AutoRun.sa
　　中文名称：“U盘寄生虫”变种sa
　　病毒长度：14353字节
　　病毒类型：蠕虫
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Worm/AutoRun.sa“U盘寄生虫”变种sa是“U盘寄生虫”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++”编写，并且经过加壳保护处理。“U盘寄生虫”变种sa运行时，在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串(如“专杀”、“防火墙”、“杀毒”等)的窗口，便会强行向其进程循环发送垃圾消息，试图使其出错关闭或自动退出。遍历当前系统中的所有进程，一旦发现某些安全软件进程存在，便会尝试结束其进程，试图将其关闭，达到自我保护的目的。“U盘寄生虫”变种sa会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”(自动播放配置文件)和病毒主程序文件“svs.pif”(“U盘寄生虫”变种sa)，实现双击盘符启动“U盘寄生虫”变种sa的目的，从而利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的功能，给计算机用户带来潜在的威胁。“U盘寄生虫”变种sa会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://m.*5x*.com/dd/”，下载恶意程序“x.pif”、“1.pif”、“2.pif”、“3.pif”、“4.pif”、“5.pif”、“6.pif”、“7.pif”、“8.pif”、“9.pif”、“10.pif”并自动调用安装运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等，会给用户带来不同程度的损失。另外，“U盘寄生虫”变种sa还会通过在系统“启动”文件夹中创建病毒主程序文件的方式来实现蠕虫开机自启动。

　　英文名称：TrojanSpy.Pophot.bhc
　　中文名称：“焦点间谍”变种bhc
　　病毒长度：244224字节
　　病毒类型：间谍类木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanSpy.Pophot.bhc“焦点间谍”变种bhc是“焦点间谍”木马家族中的最新成员之一，采用Delphi语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户和安全软件查杀。“焦点间谍”变种bhc运行后，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。在后台秘密监视被感染计算机上的窗口标题，一旦发现与安全相关的窗口弹出便立刻强行将其关闭，大大地降低了被感染计算机的安全性。在后台连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行，给用户带来一定程度的危害。