8.10病毒播报：伪程序和小广告变种

在今天的病毒中Trojan/Antavmu.aw“伪程序”变种aw和Trojan/Pasta.ds“小广告”变种ds值得关注。

英文名称：Trojan/Antavmu.aw
　　中文名称：“伪程序”变种aw
　　病毒长度：12800字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：4172aec6409733f1106aba1613c057d8
　　

特征描述：
　　

Trojan/Antavmu.aw“伪程序”变种aw是“伪程序”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“伪程序”变种aw运行后，会将自身移动到被感染系统的“%SystemRoot%\system32\”下，文件属性设置为“隐藏”。同时还会在该目录下释放恶意DLL组件“svcHost.dll”，在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“svchost.sys”。遍历当前系统中所有正在运行的进程，利用其释放的恶意驱动程序来关闭安全软件的自我保护功能，从而试图关闭其所发现的安全软件的进程以及服务，甚至还会删除其文件，以此达到了自我保护的目的。“伪程序”变种aw会将恶意代码注入到其它程序的内存空间中隐秘运行，从而避免被轻易地查杀。连接骇客指定的远程服务器站点“http://a1r.77*7tt.com/01/”，获取恶意程序下载列表“count.txt”，之后下载指定的恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。同时，其还会向骇客指定的页面“http://cc.4rw*.com/01/cc.asp”反馈木马的感染信息。“伪程序”变种aw会在被感染系统中的所有分区的根目录下创建“autorun.inf”（自动播放配置文件）和木马主程序文件“scvhost.exe”（“伪程序”变种aw），以此实现双击盘符后激活木马的目的。另外，“伪程序”变种aw会在被感染系统注册表启动项中添加键值“svchost”的方式实现木马的开机自启。

英文名称：Trojan/Pasta.ds
　　中文名称：“小广告”变种ds
　　病毒长度：125440字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：ce8e32295dc496811e3ef923e02d6963
　　

特征描述：
　　

Trojan/Pasta.ds“小广告”变种ds是“小广告”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“小广告”变种ds运行后，会删除“C:\”根目录下的大量指定文件名的文件，如“winnect.exe”、“wecansh.exe”、“fdsfdfd.exe”等，这些文件则可能是其它木马下载的恶意程序。强行篡改注册表，以多种方式将IE浏览器首页修改为“http://www.13596*.cn”，另外还会通过其它多种方式为骇客牟取非法的经济利益，从而对用户构成了不同程度的侵害。

[1]