江民3.2病毒播报：伪颗粒与露萨变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Vaklik.an“伪颗粒”变种an和TrojanDownloader.Losabel.bh“露萨”变种bh值得关注，英文名称：Trojan/Vaklik.an中文名称：“伪颗粒”变种an病毒长度：132096字节病毒类型：木马危险级别：★影响平台：Win 9X/ME/N

江民今日提醒您注意：在今天的病毒中Trojan/Vaklik.an“伪颗粒”变种an和TrojanDownloader.Losabel.bh“露萨”变种bh值得关注。

英文名称：Trojan/Vaklik.an
　　中文名称：“伪颗粒”变种an
　　病毒长度：132096字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：aaf378cbe8bc0d7203a4fd18ac53c9a3
　　特征描述：
　　Trojan/Vaklik.an“伪颗粒”变种an是“伪颗粒”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“伪颗粒”变种an运行后，会在被感染计算机系统的“%SystemRoot%”目录下和“%SystemRoot%\system32\”目录下分别释放木马文件“tt.exe”、“tavo.exe”和恶意DLL功能组件“tavo*.dll”，并设置这些文件的属性为“系统、只读、隐藏”。将恶意代码注入到“explorer.exe”中隐蔽运行，提高了木马的生存几率，但也可能因此而导致“explorer.exe”进程出错重启，给用户正常操作计算机带来了不便。尝试结束部分安全软件的进程，并利用鼠标点击模拟的方式绕过某些安全软件的主动防御功能。“伪颗粒”变种an是一个专门盗取台湾游戏橘子公司旗下游戏会员账号的木马程序，运行后会在被感染计算机的后台秘密监视用户系统中打开的网页窗口。如果用户正在浏览某些指定的页面，则会通过安装键盘钩子、鼠标钩子的方式截取用户的会员账号、密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使用户的账号信息失窃，从而造成不同程度的虚拟财产损失。另外，“伪颗粒”变种an会在系统注册表启动项中添加键值“tava”，以此实现木马的开机自动运行。

英文名称：TrojanDownloader.Losabel.bh
　　中文名称：“露萨”变种bh
　　病毒长度：78848字节
　　病毒类型：木马下载器
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：b958b48de386c08d1664477405cf9b43
　　特征描述：
　　TrojanDownloader.Losabel.bh“露萨”变种bh是“露萨”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“露萨”变种bh运行后，会将自我复制到被感染计算机系统的“%SystemRoot%\”目录下，重新命名为“system32360Safi.exe”，并将原文件的属性设置为“隐藏”。在被感染计算机的后台遍历当前系统中所有运行的进程，一旦发现指定的安全软件、诊断调试工具等正在运行，便会尝试通过强行篡改系统日期、调用批处理指令等多种方式试图结束这些软件。修改注册表，致使“显示系统隐藏文件”功能和某些安全软件的监控功能失效。同时，还会利用映像劫持特性干扰大量安全软件、系统工具的正常运行。另外，“露萨”变种bh可能会连接骇客指定的远程站点，下载其它的恶意程序并调用运行，从而使得用户面临更多的威胁。“露萨”变种bh会通过在注册表中创建启动项“360Safi”的方式实现开机自启。