江民1.19病毒播报：通犯和代理木马变种

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Generic.i“通犯”变种i和TrojanDropper.Agent.rfa“代理木马”变种rfa值得关注，英文名称：Trojan/Generic.i中文名称：“通犯”变种i病毒长度：21864字节病毒类型：木马危险级别：★影响平台：Win 9X/ME/NT/2000

江民今日提醒您注意：在今天的病毒中Trojan/Generic.i“通犯”变种i和TrojanDropper.Agent.rfa“代理木马”变种rfa值得关注。

英文名称：Trojan/Generic.i
　　中文名称：“通犯”变种i
　　病毒长度：21864字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Generic.i“通犯”变种i是“通犯”木马家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，并且经过加壳保护处理。“通犯”变种i运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\wbem\”目录下，重新命名为“internat.exe”（文件属性设置为：系统、隐藏、只读）。“通犯”变种i可利用系统自动播放功能进行传播，会在被感染计算机系统（除系统盘以外）的所有分区下创建自动播放配置文件“autorun.inf”和木马主程序文件“internat.exe”，并设置文件属性为“系统、隐藏、只读、存档”，以此实现双击盘符激活木马，从而达到利用硬盘分区、U盘、移动硬盘、SD卡等存储设备进行自我传播的目的，给被感染计算机系统用户带来潜在的威胁。“通犯”变种i在运行时，会在后台连接骇客指定的URL“http://v***e.cn/down/net/test.txt”，读取配置文件，下载恶意程序并在被感染计算机上调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给计算机用户造成不同程度的损失。同时，“通犯”变种i会篡改系统注册表，致使计算机系统中的“显示系统隐藏文件”功能失效、“安全模式”被破坏。“通犯”变种i还会利用映像劫持，导致大量的安全软件、系统工具、诊断工具等无法正常运行，极大地降低了被感染计算机的安全性。另外，“通犯”变种i会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：TrojanDropper.Agent.rfa
　　中文名称：“代理木马”变种rfa
　　病毒长度：32256字节
　　病毒类型：木马释放器
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

TrojanDropper.Agent.rfa“代理木马”变种rfa是“代理木马”家族中的最新成员之一，采用高级语言编写。“代理木马”变种rfa运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“rs32net.exe”。创建“svchost.exe”进程，将木马代码重组并插入其中调用运行，隐藏自我，防止被查杀。尝试连接若干个骇客指定的站点，读取配置文件，下载恶意程序并注入系统进程“services.exe”和“svchost.exe”中隐蔽运行。同时，“代理木马”变种rfa还会利用进程守护技术，防止病毒进程被轻易地结束，大大提高了自身的生存几率。其中，每个病毒进程都可以向若干随机ip地址及端口发送带毒邮件和垃圾数据包，严重地影响了被感染计算机系统的性能和网络带宽资源，给用户造成了更大程度上的损失。另外，“代理木马”变种rfa会修改注册表启动项，以此实现开机后的自动运行。