TrojanDownloader.Adload.jjg“埃德罗”变种jjg是“埃德罗”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“埃德罗”变种jjg运行后，会在被感染系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下分别释放恶意DLL组件“dxuc1.dll”，还会在“%SystemRoot%\system32\”文件夹下释放“dxucf.dll”、“ggsss7.dll”。释放完成后，原病毒程序会释放批处理文件“3750540.bat”并调用运行，以此将自身删除。“埃德罗”变种jjg会在被感染计算机的后台遍历当前系统中运行的所有进程，一旦发现“ravmond.exe”和“360tray.exe”存在，便会尝试将其结束，从而达到自我保护的目的。“埃德罗”变种jjg运行时，会在后台访问骇客指定的站点“www.love*580.cn”，从而提高了指定站点的访问量。秘密连接骇客指定的站点221.194.*.33:80，侦听骇客指令，在被感染计算机上执行相应的恶意操作。骇客可通过“埃德罗”变种jjg完全远程控制被感染的计算机系统，致使用户的计算机安全和个人隐私面临着严重的侵害。另外，“埃德罗”变种jjg会将释放的“ggsss7.dll”注册成BHO（Browser Helper Object，浏览器辅助对象），以此实现指定恶意文件开机自动运行的目的。

• 英文名称：Trojan/Scar.wmx
• 中文名称：“毒疤”变种wmx
• 病毒长度：40960字节
• 病毒类型：木马
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：0e4df0725b69b855efa9665a319fcdfa
• 特征描述：

Trojan/Scar.wmx“毒疤”变种wmx是“毒疤”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“毒疤”变种wmx运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下。不断尝试与控制端（IP地址为204.45.*.110:80）进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的系统发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），致使被感染系统的用户面临着严重的威胁。另外，“毒疤”变种wmx会在被感染计算机中注册名为“Wafter Comennection Driverr”的系统服务，以此实现开机自动运行。