江民11.10病毒播报：冒牌货和阿拉婆变种

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Mepaow.c“冒牌货”变种c和Worm/Allaple.cbh“阿拉婆”变种cbh值得关注，英文名称：Trojan/Mepaow.c中文名称：“冒牌货”变种c病毒长度：863628字节病毒类型：木马危险级别：★影响平台：Win 9X/ME/NT/2000/XP/200

江民今日提醒您注意：在今天的病毒中Trojan/Mepaow.c“冒牌货”变种c和Worm/Allaple.cbh“阿拉婆”变种cbh值得关注。

英文名称：Trojan/Mepaow.c
　　中文名称：“冒牌货”变种c
　　病毒长度：863628字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：0578ef48895ca7341c5907241b214271
　　特征描述：
　　Trojan/Mepaow.c“冒牌货”变种c是“冒牌货”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“冒牌货”变种c运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“HelpMe.exe”，文件属性设置为“系统、隐藏”。替换系统文件“C:\WINDOWS\system32\notepad.exe”、“C:\PRogram Files\Internet Explorer\iexplore.exe”和“C:\Program Files\Outlook Express\msimn.exe”，并将原系统文件写入病毒文件的尾部。如果反复运行“冒牌货”变种c，这三个文件会被反复写入，从而导致文件增大。用户在使用“记事本”、“IE浏览器”和“Outlook Express”时，都将激活“冒牌货”变种c。“冒牌货”变种c还会遍历各分区中的一些系统文件，并进行上述的替换行为。在被感染系统的所有分区根目录下创建“autorun.inf”（自动播放配置文件）和木马主程序文件“autorun.exe”，以此实现双击盘符后激活木马，从而达到了利用U盘等移动存储设备进行自我传播的目的，给计算机用户造成了更多的威胁。另外，“冒牌货”变种c会修改被感染系统的注册表，致使“显示隐藏文件”功能失效，同时实现开机后自动运行。

英文名称：Worm/Allaple.cbh
　　中文名称：“阿拉婆”变种cbh
　　病毒长度：79360字节
　　病毒类型：蠕虫
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：6549f4c40bd24d4bf60ca45225c9f756
　　特征描述：
　　Worm/Allaple.cbh“阿拉婆”变种cbh是“阿拉婆”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“阿拉婆”变种cbh运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“urdvxc.exe”。将恶意代码注入到“explorer.exe”、“winlogon.exe”等系统进程的内存空间中隐秘运行，防止自身被轻易地发现。连接骇客指定的ip地址“218.93.*.30:65520”，进行被感染计算机信息的反馈或接受骇客的攻击指令等。“阿拉婆”变种cbh会对随机的IP段进行139端口的探测，并利用可能存在的漏洞进行入侵。另外，“阿拉婆”变种cbh会通过修改注册表启动项或注册系统服务的方式实现开机自启。