引用:

病毒名称：Adware/Clicker.je
中 文 名：“鞋匠”变种je
病毒类型：广告程序
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003


特 征：Adware/Clicker.je“鞋匠”变种je是一个广告程序，可弹出大量广告信息，并在被感染计算机上下载其它病毒。“鞋匠”变种je运行后，在Windows目录下创建病毒文件。修改注册表，实现开机自启。自我注册为服务，服务的名称随机生成。侦听黑客指令，连接指定站点，弹出大量广告条幅，用户一旦点击带毒广告，立即在用户计算机上安装其它病毒。

引用:

某权威计算机病毒应急处理中心通过对互联网的监测，发现一个盗取网络个人银行账号密码的网银木马程序。该木马程序伪装成一个压缩(后缀名为.rar)文件，诱使计算机用户点击运行。木马程序一旦入侵感染计算机系统，会将自身运行复制到系统目录下，并将其属性值设置为隐藏和系统，还会修改系统注册表的启动项，使得受感染的计算机系统每次启动的时候，木马程序都会随之再次运行。
　　如果用户使用这个感染的计算机系统登录一些网络银行或是支付宝等系统进行网上交易活动，用户的交易账户和密码就会被盗取。该网银木马不仅能够截获计算机用户在受感染计算机系统中的所有键盘使用信息，同时在用户登录网络银行或支付宝等系统使用软键盘输入交易账号和密码时，对屏幕逐一进行快照，以窃取账号信息。该木马程序还迫使受感染计算机系统从指定的服务器上下载一种“灰鸽子”。“灰鸽子”是一种远程控制工具，它可以实现对用户的系统进行控制。

　　此外，“熊猫烧香”图案的蠕虫继续在互联网上传播，已有很多个人用户和企业局域网遭受该蠕虫的感染。预计该病毒的变种可能持续更新，以后还可能有新的发展情况，请广大用户及时升级并开启病毒实时监控防范病毒入侵。

　　专家提醒：

　　注意对该网银木马程序的防范，升级计算机系统中的防病毒软件，打开“实时监控”功能。必要时也可使用专杀工具进行监测清除。

　　另外，计算机用户还要谨防该木马程序的变种出现，如果有计算机用户遇到上述或是新情况，可以及时和各反病毒机构取得联系。

引用:

病毒名称：TrojanProxy.Ranky.y
中 文 名：“狂客”变种y
病毒长度：可变
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003


TrojanProxy.Ranky.y“狂客”变种y是一个把被感染的计算机作为一个隐藏的代理服务器的木马。“狂客”变种y运行后，在Windows目录下创建病毒文件。修改注册表，实现开机自启。开启TCP 25端口，连接指定站点，把被感染的计算机变成一个隐藏的代理服务器，把从指定站点获得的信息发送给黑客。另外，“狂客”变种y还可以通过删除注册表指定的键值来阻止某些特定程序的运行，降低被感染计算机上的安全设置。

引用:

病毒名称：TrojanSpy.Agent.od
中 文 名：“代理木马”变种od
病毒长度：42496字节
病毒类型：间谍类木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003


TrojanSpy.Agent.od“代理木马”变种od是一个盗取用户计算机上机密信息的间谍类木马。“代理木马”变种od运行后，自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，连接指定站点，在后台秘密运行，监控用户访问的站点，盗取用户计算机上的密码等机密信息（例如，POP3、ICQ、FTP），并将盗取的信息发送到指定站点。

引用:

病毒名称：Trojan/PSW.OnLineGames.hj
中 文 名：“网游窃贼”变种hj
病毒长度：87058字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003


Trojan/PSW.OnLineGames.hj“网游窃贼”变种hj是一个专门窃取网络游戏“完美世界”玩家密码的木马。“网游窃贼”变种hj运行后，在系统目录下释放病毒文件。修改注册表，实现开机自启。终止与安全相关的进程，关闭与安全相关的窗口，降低被感染计算机上的安全设置。将病毒文件注入到正在运行的进程中，当发现与网络游戏“完美世界”相关的进程，自动记录玩家输入的用户名和密码，并将玩家ID、密码、角色等机密信息发送到黑客指定的邮箱里。

引用:

病毒名称：TrojanDownloader.Small.hdb
中 文 名：“小不点”变种hdb
病毒长度：可变
病毒类型：木马下载器
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003


TrojanDownloader.Small.hdb“小不点”变种hdb是一个利用群发带毒邮件进行传播的木马下载器。“小不点”变种hdb运行后，自我复制到系统目录下。修改注册表，实现开机自启。自我复制到*.exe和*.scr文件的文件夹下，文件名随机生成，后缀是.t，并感染该文件夹下所有的*.exe和*.scr文件。破坏共享访问服务，终止与安全相关的进程，降低被感染计算机上的安全设置。从被感染的计算机上搜索有效邮箱地址，利用自带的SMTP群发带毒邮件。另外，“小不点”变种hdb还可以在被感染的计算机上释放其它恶意程序。

引用:

病毒名称：Trojan/PSW.Delf.kn
中 文 名：“Trojan/PSW.Delf”变种kn
病毒长度：可变
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003


Trojan/PSW.Delf.kn“Trojan/PSW.Delf”变种kn是一个利用移动设备进行传播的木马程序。“Trojan/PSW.Delf”变种kn运行后，在系统目录下创建病毒副本，属性设置为隐藏。修改注册表，实现开机自启。终止与安全相关的进程和服务，删除与安全相关的注册表项，降低被感染计算机上的安全设置。搜索被感染计算机上的移动设备，一经发现便自我复制到移动硬盘根目录下，并自动运行。侦听黑客指令，盗取即时通讯工具QQ用户的密码，利用自带的SMTP将机密信息发送到黑客指定的邮箱里。另外，“Trojan/PSW.Delf”变种kn还可以自升级。

引用:

病毒名称：TrojanDropper.Agent.ahc
中 文 名：“代理木马”变种ahc
病毒长度：248860字节
病毒类型：木马释放器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003


TrojanDropper.Agent.ahc“代理木马”变种ahc是一个专门盗取网络游戏“热血江湖”玩家机密信息的木马释放器。“代理木马”变种ahc运行后，在系统目录下释放病毒文件，文件名随机生成，后缀是.dll。修改注册表，实现开机自启。在活动窗口中搜索与“热血江湖”主题相关的窗口，一经发现便开始记录键击，盗取玩家帐户密码等机密信息（玩家职业、等级、游戏分值），利用SMTP将盗取的玩家密码发送给黑客。

引用:

“尼姆亚变种BC（Worm.Nimaya.bc）”病毒：警惕程度★★★★，蠕虫病毒，通过局域网共享、移动存储设备、感染文件等方式传播，依赖系统：WIN 9X/NT/2000/XP/2003。
　　这是“熊猫烧香”病毒的最新变种，采用“熊猫烧香”头像作为图标，诱使用户运行。该变种会感染用户计算机上的EXE可执行文件。被病毒感染的文件图标均变为“熊猫烧香”，所以该病毒也被称为“熊猫烧香”病毒。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒可通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。该病毒变种文件内部隐藏有“海色の月说:满城尽烧国宝香 我也不想再更新熊猫了!”、“感谢艾玛,mopery,海色の月,对此木马的关注!~”等信息。
　　目前多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。
　　反病毒专家建议电脑用户采取以下措施预防该病毒：第一，安装杀毒软件和瑞星卡卡3.1，并在上网时打开网页实时监控。第二，网站管理员应该更改机器密码，以防止病毒通过局域网传播。第三，QQ、UC的漏洞已经被该病毒利用，用户应该去他们的官方网站打好最新补丁。第四，该病毒会利用IE浏览器的漏洞进行攻击，因此用户应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

引用:

毒名称：I-Worm.Luder.b
中 文 名：“炉德尔”变种b
病毒长度：可变
病毒类型：网络蠕虫
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003


I-Worm.Luder.b“炉德尔”变种b是一个利用群发带毒邮件进行传播的网络蠕虫。“炉德尔”变种b运行后，自我复制到系统目录下，并在当前文件夹下创建病毒文件，文件名是7个字母的随机组合，后缀是.exe。修改注册表，实现开机自启。自我复制到包含*.exe和*.scr文件的文件夹下，文件名随机组合，后缀是.t，并感染该文件夹下有效的*.exe和*.scr文件。破坏共享访问服务，终止与安全相关的进程，降低被感染计算机上的安全设置。从被感染的计算机上搜索有效邮箱地址，利用自带的SMTP群发带毒邮件。另外，“炉德尔”变种b还可以在被感染的计算机上释放其它恶意程序。

引用:

病毒名称：Worm/Viking.qo
中 文 名：“威金”变种qo
病毒长度：可变
病毒类型：蠕虫
危害等级：★★★
影响平台：Win 9X/ME/NT/2000/XP/2003


Worm/Viking.qo“威金”变种qo是一个由Delphi工具编写的蠕虫，终止大量的反病毒软件和防火墙软件进程。“威金”变种qo运行后，在系统目录下创建病毒文件。修改注册表，实现开机自启。在每个文件夹下生成desktop_.ini文件，文件里标记着病毒发作日期。删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，因此“威金”变种qo可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行。搜索硬盘中的*.EXE可执行文件并感染，感染后的文件图标变成熊猫烧香的样子。另外，“威金”变种qo还可以通过共享文件夹、系统弱口令等多种方式进行传播。

引用:

　“婚礼（Worm.Wedding.a）”病

毒：警惕程度★★★☆，

蠕虫病毒，通过恶意网页、优盘等传播

依赖系统：WIN 9X/NT/2000/XP/2003。


　　该病毒采用瑞星杀毒软件的图标，伪装成“瑞星远程专家门诊”软件的图标，诱骗用户运行。其运行后将自身复制到硬盘分区的根目录下，文件名为sxs.exe。当用户打开这些硬盘分区或插入染有该病毒的优盘时就可能被病毒感染。该病毒会隐藏用户的文件，给用户使用电脑带来不便。
　　反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。

引用:

Win32.Troj.MirWhBoy(传奇盗号木马)

病毒行为:
编写工具:
Delphi

传染条件:
通过QQ向好友发送病毒网址信息，诱导好友点击病毒网址。

发作条件:


系统修改:
1，在"%SYSTEMROOT%System32"目录下，添加如下文件："system32.exe"
2，在"%SYSTEMROOT%System32"目录下，添加如下文件："microsoft.exe"
3，在注册表主键"HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunonce"下，添加如下键值： "windows update"="C:WINNTsystem32Microsoft.exe"
4，在注册表主键"HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopen"下，添加如下键值 ："command"="C:WINNTsystem32system32.exe %1"
5，结束包含以下字符串的进程：
绿鹰PC、天网、密码防盗、QQKav、防火墙

发作现象:
用QQ聊天时，发现在正常的消息后带有网址，或还没有点击发送消息就已经发出去了

特别说明:
这是一个传奇盗号木马

引用:

Win32.Troj.WHBoy2005.j(窃取传奇网游密码)


这是一个窃取传奇网游密码的木马病毒，是武汉男生2005系列的第10个变种。

1、将自身拷贝到 %System%\whboy.exe
2、将自身拷贝到 %WindowsRoot%\bak.exe
3、释放dll文件到 %System%\whboy.dll，该文件毒霸命名为 Win32.Troj.WHBoy2005Dll.j.123392
4、将释放的dll注入到 explorer.exe 进程
5、在注册表以下位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改值 "Shell"
为 "Shell" = "Explorer.exe %System%\whboy.exe"
6、该病毒会通过 QQ、MSN、UC、POPO2004 向好友发送消息，诱骗好友点击带毒网站地址，导致好友系统感染病毒。

引用:

Win32.Troj.WHBoyPSW.a(男生之马)

这是由武汉男生所写的传奇木马,它会监视传奇客户端的存在与否,记录用户的帐户和密码,通过邮件把记录的信息发送出去.在启动病毒方面运用了更荫蔽的方法,并且病毒对抗安全软件,使的该病毒的危害变得更大.

1.生成文件:
C:\bak.exe
%system%\whboy.exe
%system%\whboy.txt

2.修改注册表,使病毒加载用户时运行:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell
由Explorer.exe改为
Explorer.exe %system%\whboy.exe

3.修改防火墙规则,使病毒逃避监控.

4.结束以下的进程:
Symantec AntiVirus 企业版
江民杀毒软件 KV2004：
实时监视
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天网防火墙个人版
Tapplication
天网防火墙企业版
密码防盗
绿鹰PC
TKillqqv
QQ病毒专杀工具
腾讯QQ病毒
噬菌体
木马克星
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE

引用:

病毒名称：TrojanSpy.Delf.gu
中 文 名：“TrojanSpy.Delf”变种gu
病毒长度：185856字节
病毒类型：间谍类木马
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Delf.gu“TrojanSpy.Delf”变种gu一个间谍类木马，由Delphi工具编写，经过UPX加壳处理。“TrojanSpy.Delf”变种gu运行后，创建病毒文件（%SystemDir%driversdives.exe）。修改注册表，实现开机自启。在后台秘密监视用户的键盘操作，窃取用户输入的帐户、密码等机密信息，并将窃取的信息发送到黑客指定的邮箱里。

引用:

病毒名称：Backdoor/IRCBot.byh
中 文 名：“IRC波”变种byh
病毒长度：90112字节
病毒类型：后门
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003


Backdoor/IRCBot.byh“IRC波”变种byh是一个由VC++工具编写、经EXECryptor工具加壳处理的后门。“IRC波”变种byh运行后，创建病毒文件（%SystemDir%atividx.exe）。修改注册表，实现开机自启。连接指定的IRC服务器，接受黑客远程控制命令，这些命令可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作等，导致用户计算机成为僵尸电脑。

引用:

“威尔佐夫变种TV（Worm.Mail.Warezov.tv）”病毒：警惕程度★★★☆，蠕虫病毒，通过电子邮件传播，依赖系统：WIN9X/NT/2000/XP。
　　该病毒通过电子邮件传播，邮件附带一个附件，引诱用户打开。其他用户打开邮件中的附件就会被病毒感染。
　　该病毒会自动搜索用户计算机上多种格式的文件，从中提取电子邮件地址，并向这些地址发送病毒邮件。其他用户打开这些邮件的附件，就会被病毒感染。该病毒大量发送垃圾邮件会造成用户计算机速度减慢，网络带宽被严重占用，甚至会造成一些局域网络崩溃。为了躲避杀毒软件查杀，该病毒几乎每天都会有新变种出现。目前，瑞星已经截获到数十个该病毒的不同变种。
　　反病毒专家建议电脑用户采取以下措施预防该病毒：1、个人用户不要随便打开陌生人发来的邮件，特别是邮件的附件。平时应开启杀毒软件的邮件监控功能防范此类病毒。2、企业用户应部署防毒墙，并安装网络版杀毒软件进行全网保护，防止此类病毒影响正常的网络应用。

引用:

病毒名称：TrojanSpy.KeyLogger.fw
中 文 名：“键盘终结者”变种fw
病毒长度：可变
病毒类型：间谍类木马
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003


TrojanSpy.KeyLogger.fw“键盘终结者”变种fw是一个专门记录用户键盘操作的间谍类木马，由Delphi工具编写，并经过nSPack工具加壳。“键盘终结者”变种fw运行后，在%WinDir%下释放病毒文件（keylog.exe）。修改注册表，实现开机自启。在后台秘密监视用户的键盘操作，窃取用户输入的机密信息，并将机密信息保存为日志文件，发送到黑客指定的邮箱里。

引用:

病毒名称：Trojan/PSW.Zhengtu.iw
中 文 名：“征途”变种iw
病毒长度：可变
病毒类型：木马
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003


Trojan/PSW.Zhengtu.iw“征途”变种iw是一个专门窃取“征途”网络游戏玩家密码的木马。“征途”变种iw运行后，在%SystemDir%目录下释放病毒文件。修改注册表，实现开机自启。监视当前的窗口标题，当用户登陆征途网络游戏页面时，马上记录键盘操作，并发送到黑客指定的邮箱中，导致玩家游戏帐号、装备等丢失，给玩家带来损失。