江民2.6毒报：恶小子和代理木马变种

核心提示：江民今日提醒您注意：在今天的病毒中VBS/Fineboy.b“恶小子”变种b和Trojan/PSW.Agent.jjn“代理木马”变种jjn值得关注，英文名称：VBS/Fineboy.b中文名称：“恶小子”变种b病毒长度：19247字节病毒类型：VBS脚本病毒危险级别：★★影响平台：Win 9X/ME/NT/2000/

江民今日提醒您注意：在今天的病毒中VBS/Fineboy.b“恶小子”变种b和Trojan/PSW.Agent.jjn“代理木马”变种jjn值得关注。

英文名称：VBS/Fineboy.b
　　中文名称：“恶小子”变种b
　　病毒长度：19247字节
　　病毒类型：VBS脚本病毒
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：4bbd1382cb6cd780731711cc6d9f8e57
　　特征描述：
　　VBS/Fineboy.b“恶小子”变种b是“恶小子”家族中的最新成员之一，采用“VBScript”脚本语言编写，经过加密保护处理。“恶小子”变种b运行后，会自我复制到被感染系统的所有分区根目录下重新命名（文件属性设置为：系统、隐藏）。同时，还会在所有分区的根目录下生成“autorun.inf”文件（文件属性设置为：系统、隐藏），从而利用系统自动播放功能来达到双击盘符自动运行的目的。其还会利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播，从而给计算机用户造成潜在的威胁。强行篡改注册表项，致使文件夹选项中的“显示系统隐藏文件及文件夹”功能失效。隐藏所有分区根目录下的文件夹，同时生成与这些文件夹同名的快捷方式，以此诱骗用户点击。其还会篡改“txt”、“log”、“ini”、“inf”、“bat”、“cmd”、“reg”、“chm”、“hlp”、“dir”、“oie”、“omc”、“emc”等扩展名的文件关联以及“IE浏览器”、“我的电脑”等快捷方式，以此实现激活恶意脚本的目的。“恶小子”变种b会在特定条件下（比如日期时间相符），反复弹出光驱以及打开网页文件“BFAlert.hta”（网页标题为“暴风一号”，网页背景色为全黑，网页中会出现一个很大的红色“骷髅头”和一行红色文字“暴风一号”）。定时检测系统中自身的运行数量，如果小于定值（一般为3个左右）时便会运行自身，以此实现了自我保护。“恶小子”变种b会在后台不断监视系统中的进程，并且会试图关闭一些指定的安全软件或安全工具。其还会利用NTFS文件系统的ADS（交换数据流）特性实现自我隐藏和自启动。“恶小子”变种b会在自我复制传播的过程中自动进行变形，从而实现了免杀的效果。

英文名称：Trojan/PSW.Agent.jjn
　　中文名称：“代理木马”变种jjn
　　病毒长度：51200字节
　　病毒类型：盗号木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：e820bd7e5dc06eae093692683eeb9914
　　特征描述：
　　Trojan/PSW.Agent.jjn“代理木马”变种jjn是“代理木马”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“代理木马”变种jjn是一个专门盗取“兽血沸腾”网络游戏会员账号的木马程序，其会随“兽血沸腾”一同启动运行。“代理木马”变种jjn运行后，会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“sxonline.exe”中。如果已经插入其中，则会利用内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。“代理木马”变种jjn可能具有自动更新功能，同时其会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。