瑞星升级报告：18.08.22版新增239个可查杀病毒

来源：瑞星公司作者：出处：巧巧读书 2006-01-04 进入讨论组

访问 http://www.qqread.com/virus/s442198207.html18.08.22版新增239个可查杀病毒，主要包括： WINDOWS下的PE病毒(235)；脚本病毒(2)；普通文件病毒(2)；

WINDOWS下的PE病毒(235)

1.Trojan.PSW.Misc.c
破坏方法：窃取传奇、魔兽世界、传奇世界、梦幻西游、QQ幻想等游戏的敏感信息。

该病毒为 VB 编写，采用nspack加壳，病毒文件为45014个字节。

一旦运行，病毒首先将多个副本拷贝到系统目录：
  C:\WINNT\WINLOGON.EXE
  C:\WINNT\System32\rundll32.com
  C:\WINNT\System32\finder.com
  C:\WINNT\finder.com
  C:\WINNT\System32\command.pif
  C:\progra~1\intern~1\iexplore.com
  C:\progra~1\common~1\iexplore.pif
  C:\WINNT\explorer.com
  C:\WINNT\1.com
  C:\WINNT\ExERoute.exe
  C:\WINNT\System32\MSCONFIG.COM
  C:\WINNT\System32\dxdiag.com
  C:\WINNT\System32\regedit.com
  C:\WINNT\Debug\DebugProgram.exe
同时修改大量注册表数据，以达到其自启动之目的：
HKCR\.lnk\ShellNew\command = "rundll32.com appwiz.cpl,NewLinkHere %1"
   HKCR\.bfc\shellnew\command = "%SystemRoot%\system32\rundll32.com %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
   HKCR\cplfile\shell\cplopen\command
\(Default) = "rundll32.com shell32.dll,Control_RunDLL %1,%*"
   HKCR\dunfile\shell\open\command\(Default) = "%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
   HKCR\file\shell\open\command
\(Default) = "rundll32.com url.dll,FileProtocolHandler %l"
   HKCR\htmlfile\shell\print\command\(Default) = "rundll32.com %SystemRoot%\System32\mshtml.dll,PrintHTML "%1""
   HKCR\inffile\shell\Install\command\(Default) = "%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
   HKCR\InternetShortcut\shell\open\command
\(Default) = "finder.com shdocvw.dll,OpenURL %l"
   HKCR\scrfile\shell\install\command
\(Default) = "finder.com desk.cpl,InstallScreenSaver %l"
   HKCR\scriptletfile\Shell\Generate Typelib\command
\(Default) = ""C:\WINNT\System32\finder.com" C:\WINNT\System32\scrobj.dll,GenerateTypeLib "%1""
   HKCR\telnet\shell\open\command
\(Default) = "finder.com url.dll,TelnetProtocolHandler %l"
   HKCR\Unknown\shell\openas\command\(Default) = "%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
   HKLM\SOFTWARE\Classes\dunfile\shell\open\command\(Default) = "%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
   HKLM\SOFTWARE\Classes\InternetShortcut\shell\open
\command\(Default) = "finder.com shdocvw.dll,OpenURL %l"
   HKLM\SOFTWARE\Classes\scrfile\shell\install\command
\(Default) = "finder.com desk.cpl,InstallScreenSaver %l"
   HKLM\SOFTWARE\Classes\Unknown\shell\openas\command\(Default) = "%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
   HKLM\SOFTWARE\Microsoft\Shared Tools\MSInfo\ToolSets
\MSInfo\hdwwiz\command = "C:\WINNT\System32\command.pif"
   HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
\(Default) = ""C:\Program Files\Internet Explorer\iexplore.com" -nohome"
   HKCU\Software\Microsoft\Internet Explorer\Main\Check_Associations = "No"
   HKCR\Applications\iexplore.exe\shell\open\command
\(Default) = ""C:\Program Files\Internet Explorer\iexplore.com" %1"
   HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\(Default) = ""C:\Program Files
\Internet Explorer\iexplore.com""
   HKCR\ftp\shell\open\command\(Default) = ""C:\Program Files
\Internet Explorer\iexplore.com" %1"
   HKCR\htmlfile\shell\open\command\(Default) = ""C:\Program Files
\Internet Explorer\iexplore.com" -nohome"
   HKCR\htmlfile\shell\opennew\command\(Default) = ""C:\Program Files\common~1\iexplore.pif""
   HKCR\http\shell\open\command\(Default) = ""C:\Program Files\common~1\iexplore.pif" -nohome"
   HKLM\SOFTWARE\Classes\http\shell\open\command
\(Default) = ""C:\Program Files\common~1\iexplore.pif" -nohome"
   HKCR\Drive\shell\find\command\(Default) = "%SystemRoot%\explorer.com"
   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon\Shell = "Explorer.exe 1"
   HKLM\SOFTWARE\MICROSOFT\WINDOWS
\CURRENTVERSION\RUN\Torjan Program = "C:\WINNT\WINLOGON.EXE"
遍历内存进程，终止以下进程：RAVMON.EXE、AGENTSVR*、KV* 、KREG* 、IEFIND* 、IPARMOR* 、SVI.EXE 、UPHC* 、RULEWIZE* 、FYGT* 、RFWSRV* 、RFWMA* 。
隐藏后台，窃取网络游戏的敏感信息。

2.Backdoor.Gpigeon.uon
破坏方法：“灰鸽子”后门，能让远程计算机控制本地计算机。

3.Backdoor.Gpigeon.uoo
破坏方法：“灰鸽子”后门，能让远程计算机控制本地计算机。

4.Backdoor.Gpigeon.uov
破坏方法：“灰鸽子”后门，能让远程计算机控制本地计算机。

5.Backdoor.Gpigeon.uow
破坏方法：“灰鸽子”后门，能让远程计算机控制本地计算机。

6.Backdoor.Gpigeon.uoq
破坏方法：灰鸽子病毒，能使黑客远程控制本地计算机。

7.Trojan.DL.Agent.ejf
破坏方法：下载器,从指定的网址上下载程序并运行。

8.Trojan.DL.Agent.ejj
破坏方法：下载器,从指定的网址上下载程序并运行。

9.Trojan.PSW.JHOnline.ck
破坏方法：盗取网络游戏"热血江湖"密码的木马。

10.Dropper.Yudoor.a
破坏方法：被捆绑有后门程序的正常程序。

11.Trojan.PSW.Lmir.jbu
破坏方法：盗取传奇游戏密码的木马程序。

12.Trojan.PSW.Lmir.jbx
破坏方法：盗取传奇密码的木马。

13.Backdoor.Gpigeon.upf
破坏方法：“灰鸽子”后门。

14.Backdoor.Bifrose.hj
破坏方法：这是一个后门程序

15.Backdoor.Gpigeon.upc
破坏方法：“灰鸽子”后门。

16.Backdoor.Gpigeon.upd
破坏方法：“灰鸽子”后门。

17.Backdoor.Gpigeon.uoz
破坏方法：灰鸽子后门程序。

18.Backdoor.Gpigeon.upb
破坏方法：灰鸽子后门程序。

19.Backdoor.Gpigeon.upa
破坏方法：灰鸽子后门程序。

20.Backdoor.Gpigeon.uop
破坏方法：灰鸽子后门程序。

21.Trojan.PSW.GameABC.ah
破坏方法：边锋网游木马。

22.Backdoor.Gpigeon.uou
破坏方法：灰鸽子病毒。

23.Adware.Clicker.YNYW.l

24.Trojan.PSW.Lmir.jbv

25.Trojan.PSW.Lmir.jbw

26.Backdoor.Delf.sxp

27.Trojan.DL.Agent.ejh

28.Trojan.DL.Agent.ejg

29.Trojan.DL.Agent.eji

30.Trojan.DL.Tibs.fz

31.Trojan.PSW.Delf.dms

32.Backdoor.Gpigeon.upe

33.Backdoor.SdBot.idi

34.Backdoor.SdBot.idj

35.Backdoor.SdBot.idk

36.Backdoor.SdBot.idl

37.Backdoor.SdBot.idm

38.Backdoor.SdBot.idn

39.Backdoor.SdBot.ido

40.Backdoor.SdBot.idp

41.Backdoor.SdBot.hwt

42.Backdoor.SdBot.hwu

43.Backdoor.SdBot.hwv

44.Backdoor.SdBot.hww

45.Backdoor.SdBot.hwx

46.Backdoor.SdBot.hwy

47.Backdoor.SdBot.hwz

48.Backdoor.SdBot.hxa

49.Backdoor.SdBot.hxb

50.Backdoor.SdBot.hxc

51.Backdoor.SdBot.hxd

52.Backdoor.SdBot.hxe

53.Backdoor.SdBot.hxf

54.Backdoor.SdBot.hxg

55.Backdoor.SdBot.hxh

56.Backdoor.SdBot.hxi

57.Backdoor.SdBot.hxj

58.Backdoor.SdBot.hxk

59.Backdoor.SdBot.hxl

60.Backdoor.SdBot.hxm

61.Backdoor.SdBot.hxn

62.Backdoor.SdBot.hxo

63.Backdoor.SdBot.hxp

64.Backdoor.SdBot.hxq

65.Backdoor.SdBot.hxr

66.Backdoor.SdBot.hxs

67.Backdoor.SdBot.hxt

68.Backdoor.SdBot.hxu

69.Backdoor.SdBot.hxv

70.Backdoor.SdBot.hxw

71.Backdoor.SdBot.hxx

72.Backdoor.SdBot.hxy

73.Backdoor.SdBot.hxz

74.Backdoor.SdBot.hya

75.Backdoor.SdBot.hyb

76.Backdoor.SdBot.hyc

77.Backdoor.SdBot.hyd

78.Backdoor.SdBot.hye

79.Backdoor.SdBot.hyf

80.Backdoor.SdBot.hyg

81.Backdoor.SdBot.hyh

82.Backdoor.SdBot.hyi

83.Backdoor.SdBot.hyj

84.Backdoor.SdBot.hyk

85.Backdoor.SdBot.hyl

86.Backdoor.Wootbot.acu

87.Backdoor.Wootbot.acv

88.Backdoor.Wootbot.acw

89.Backdoor.Wootbot.acx

90.Backdoor.Wootbot.acy

91.Backdoor.Wootbot.acz

92.Backdoor.Wootbot.ada

93.Backdoor.Wootbot.adb

94.Backdoor.Wootbot.adc

95.Backdoor.Wootbot.add

96.Backdoor.Wootbot.ade

97.Backdoor.Wootbot.adf

98.Backdoor.Wootbot.adg

99.Backdoor.Wootbot.adh

100.Backdoor.Wootbot.adi

101.Backdoor.Wootbot.adj

102.Backdoor.Wootbot.adk

103.Backdoor.Wootbot.adl

104.Backdoor.Wootbot.adm

105.Worm.IM.Prex.aj

106.Worm.Dedler.af

107.Worm.Dedler.ag

108.Worm.Dedler.ah

109.Worm.Dedler.ai

110.Worm.Dedler.aj

111.Worm.Dedler.ak

112.Worm.Dedler.al

113.Worm.Dedler.am

114.Worm.Dedler.an

115.Worm.Dedler.ao

116.Worm.Dedler.ap

117.Worm.Dedler.aq

118.Worm.Dedler.ar

119.Worm.Mytob.sz

120.Worm.Mytob.ta

121.Worm.P2P.SpyBot.ua

122.Worm.P2P.SpyBot.sf

123.Worm.P2P.SpyBot.ub

124.Worm.P2P.SpyBot.sg

125.Worm.P2P.SpyBot.uc

126.Worm.P2P.SpyBot.sh

127.Worm.P2P.SpyBot.ud

128.Worm.P2P.SpyBot.si

129.Worm.P2P.SpyBot.ue

130.Worm.P2P.SpyBot.sj

131.Worm.P2P.SpyBot.uf

132.Worm.P2P.SpyBot.sk

133.Worm.P2P.SpyBot.ug

134.Worm.P2P.SpyBot.sl

135.Worm.P2P.SpyBot.uh

136.Worm.P2P.SpyBot.sm

137.Worm.P2P.SpyBot.ui

138.Worm.P2P.SpyBot.sn

139.Worm.P2P.SpyBot.uj

140.Worm.P2P.SpyBot.uk

141.Worm.P2P.SpyBot.sp

142.Worm.P2P.SpyBot.ul

143.Worm.P2P.SpyBot.sq

144.Worm.P2P.SpyBot.um

145.Worm.P2P.SpyBot.sr

146.Worm.P2P.SpyBot.un

147.Worm.P2P.SpyBot.uo

148.Backdoor.Agobot.ctj

149.Backdoor.SdBot.hws

150.Backdoor.Robobot.nz

151.Backdoor.Robobot.oa

152.Backdoor.Robobot.ob

153.Backdoor.Robobot.oc

154.Backdoor.Robobot.od

155.Backdoor.Robobot.oe

156.Backdoor.Robobot.of

157.Backdoor.Robobot.og

158.Backdoor.SdBot.ikx

159.Backdoor.SdBot.iky

160.Backdoor.SdBot.ikz

161.Backdoor.SdBot.ila

162.Backdoor.SdBot.ilb

163.Backdoor.SdBot.ilc

164.Backdoor.SdBot.ild

165.Backdoor.SdBot.ile

166.Backdoor.SdBot.ilf

167.Backdoor.SdBot.ilg

168.Backdoor.SdBot.ilh

169.Backdoor.SdBot.ili

170.Backdoor.SdBot.ilj

171.Backdoor.SdBot.ilk

172.Backdoor.SdBot.ill

173.Backdoor.SdBot.ilm

174.Backdoor.SdBot.iln

175.Backdoor.SdBot.ilo

176.Backdoor.SdBot.ilp

177.Backdoor.SdBot.ilq

178.Backdoor.SdBot.ilr

179.Backdoor.SdBot.ils

180.Backdoor.SdBot.ilt

181.Backdoor.SdBot.ilu

182.Backdoor.SdBot.ilv

183.Backdoor.SdBot.ilw

184.Backdoor.SdBot.ilx

185.Backdoor.SdBot.ily

186.Backdoor.SdBot.ilz

187.Backdoor.SdBot.ima

188.Backdoor.SdBot.imb

189.Backdoor.SdBot.imc

190.Trojan.Spy.Qeds.b

191.Backdoor.Bifrose.hk

192.Backdoor.Rbot.twy

193.Backdoor.Rbot.twz

194.Backdoor.Rbot.txa

195.Backdoor.Rbot.txb

196.Backdoor.Rbot.txc

197.Backdoor.Rbot.txd

198.Backdoor.Rbot.txe

199.Backdoor.Rbot.txf

200.Backdoor.Rbot.txg

201.Backdoor.Rbot.txh

202.Backdoor.Rbot.txi

203.Backdoor.Rbot.txj

204.Backdoor.Rbot.txk

205.Backdoor.Rbot.txl

206.Backdoor.Rbot.txm

207.Backdoor.Rbot.txn

208.Backdoor.Rbot.txo

209.Backdoor.Rbot.txp

210.Backdoor.Rbot.txq

211.Backdoor.Rbot.txr

212.Backdoor.Rbot.txs

213.Backdoor.Rbot.txt

214.Backdoor.Rbot.txu

215.Backdoor.Rbot.txv

216.Backdoor.Rbot.txw

217.Backdoor.Rbot.txx

218.Backdoor.Rbot.txy

219.Backdoor.Robobot.ny

220.Backdoor.Rbot.tmi

221.Backdoor.Rbot.tmj

222.Backdoor.Rbot.tmk

223.Backdoor.Rbot.tml

224.Backdoor.Rbot.tmm

225.Backdoor.Rbot.tmn

226.Backdoor.Rbot.tmo

227.Backdoor.Rbot.tmp

228.Backdoor.Rbot.tmq

229.Backdoor.Rbot.tmr

230.Backdoor.Rbot.tms

231.Backdoor.Rbot.tmt

232.Backdoor.Gpigeon.uox

233.Backdoor.Rbot.tmu

234.Trojan.QQ.Boker.go

235.Trojan.PSW.Lmir.jbt

脚本病毒(2)

236.Hack.EsayYjh
破坏方法：黑客工具，用于快速简单的提交“一句话”网页木马到目标主机。

237.JS.DL.Small.j

普通文件病毒(2)

238.Backdoor.Gpigeon.uoy

239.Trojan.Spy.Banker.fcz