临时解决方案一：通过修改注册表关闭显示快捷的图标。
1.打开注册表编辑器，定位到“HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler”项目下
2.右键单击，选择导出，将该项注册表键值进行修改前备份。
3.备份之后，将该项的默认键值修改为空。

此方案所带来的影响：快捷方式的图标将不会被显示，而是呈现出“未知文件类型”的图标样式。这仅仅是视觉效果上的影响。

临时解决方案二：关闭系统WebClient服务
1.在开始－－运行中输入“Services.msc”，打开服务控制面板。
2.找到“WebClient”服务项，如果其正在运行状态中，请先将其关闭，之后修改启动类型为“已禁用”。

此方案所带来的影响：WebDAV请求将不会被传输，另外任何明显依赖于“WebClient”服务的其它服务项会受到影响。

• 英文名称：TrojanDownloader.Geral.bwe
• 中文名称：“变异体”变种bwe
• 病毒长度：43171字节
• 病毒类型：木马下载器
• 危险级别：★★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：4173240c5bed05ae7e95d0947b8e12e6
• 特征描述：

TrojanDownloader.Geral.bwe“变异体”变种bwe是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种bwe运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“360data.tmp”，然后复制自身到“%SystemRoot%\system32\”文件夹下重新命名为“kav.exe”。在“%SystemRoot%\system32\”、“%programfiles%\KAV\”文件夹下释放“jxgamepacik.pak”、“ApsX88.dll”和驱动程序“ApsX88.sys”，另外还会在“%SystemRoot%\system32\drivers\”文件夹下释放“pcidump.sys”。在被感染系统的后台遍历当前正在运行的所有进程，如果发现某些指定的安全软件存在，便会尝试将其结束。连接骇客指定的远程站点“121.12.*.6”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“变异体”变种bwe会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

• 英文名称：TrojanDownloader.Generic.sx
• 中文名称：“通犯”变种sx
• 病毒长度：126227字节
• 病毒类型：木马下载器
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：725268dffbe9b48d098e67fc05c328b7
• 特征描述：

TrojanDownloader.Generic.sx“通犯”变种sx是“通犯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“通犯”变种sx运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\nsvF2.tmp\”文件夹下释放恶意DLL组件“System.dll”和“nsExec.dll”。在“%USERPROFILE%\Local Settings\Temp\”下释放“3E6BE8E3.exe”和“max2_133daohang4.exe”。在当前用户的桌面上创建假冒的IE浏览器快捷方式，通过这个快捷方式启动的IE会自动访问骇客指定的站点“http://www.7*2.com/”，以此增加了其访问量。另外，其还会自动下载安装某浏览器，并且在安装后自动打开“http://www.n*9.com/?ay”，从而给骇客带来了非法的经济利益。

• 英文名称：Trojan/Swizzor.dplg
• 中文名称：“私伪者”变种dplg
• 病毒长度：113664字节
• 病毒类型：木马
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：5c87d9891460aaf402bc591cd5d3f94d
• 特征描述：

Trojan/Swizzor.dplg“私伪者”变种dplg是“私伪者”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“私伪者”变种dplg运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“dsoqq0.dll”和恶意程序“dsoqq.exe”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“私伪者”变种dplg会在被感染计算机的系统盘根目录下创建“autorun.inf”（自动播放配置文件），以此实现双击盘符后激活指定恶意程序的目的，从而给被感染系统用户造成更多的威胁。“私伪者”变种dplg运行时，会在被感染系统的后台连接骇客指定的远程站点“202.111.*.200”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“私伪者”变种dplg会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

• 英文名称：Trojan/Buzus.iyv
• 中文名称：“霸族”变种iyv
• 病毒长度：38912字节
• 病毒类型：木马
• 危险级别：★★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：9d246ac08b2e9e76ebaea7e96aa1ab04
• 特征描述：

Trojan/Buzus.iyv“霸族”变种iyv是“霸族”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“霸族”变种iyv运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“gz29048.dll”、“rpcss.dll”和配置文件“gz29048.ini”。另外，还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放“~5f8f22.~~~”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“霸族”变种iyv运行时，会将释放的“gz29048.dll”插入到系统桌面程序“explorer.exe”进程中加载运行，并在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。在被感染系统的后台连接骇客指定的远程站点，获取配置文件（其中包括病毒版本号、更新日期、恶意网站地址等），然后根据其中的设置执行自我更新等恶意操作。

• 英文名称：Trojan/Pincav.fjq
• 中文名称：“恶推客”变种fjq
• 病毒长度：248376字节
• 病毒类型：木马
• 危险级别：★★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：b23b108e9831fed7760ec90dc8d4c832
• 特征描述：

Trojan/Pincav.fjq“恶推客”变种fjq是“恶推客”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“恶推客”变种fjq运行后，会在被感染系统的“%SystemRoot%\”文件夹下释放恶意程序“win_32.exe”和图标文件“Game.Ico”、“movie.Ico”、“taobao2.Ico”，还会在IE收藏夹中和桌面上创建大量的Internet快捷方式，诱导用户对这些站点进行访问。“恶推客”变种fjq运行时，会定时弹出恶意广告网页，从而给系统用户造成不同程度的干扰。连接骇客指定的远程站点，下载恶意程序并自动调用运行，致使用户面临着不同程度的威胁。强行篡改被感染计算机的IE浏览器主页为骇客指定站点“http://www.q*8.com/”，致使用户在打开IE浏览器后便会自动连接至该站点，从而增加了其访问量，给骇客带来了非法的经济利益。另外，“恶推客”变种fjq还会在被感染系统的后台连接骇客指定的远程站点“202.104.*.95”，获取配置文件（其中包括病毒版本号、更新日期、恶意网站地址等），然后其会根据文件中的设置执行自我更新等恶意操作。

• 英文名称：TrojanDropper.Binder.xt
• 中文名称：“绑匪”变种xt
• 病毒长度：1137642字节
• 病毒类型：木马释放器
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：e57848764b1420264cf6a01de877b6d0
• 特征描述：

TrojanDropper.Binder.xt“绑匪”变种xt是“绑匪”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“绑匪”变种xt运行后，会在被感染系统的“%SystemRoot%\”文件夹下释放恶意程序“ngm.exe”，还会在“%SystemRoot%\”文件夹下创建配置文件“nw.ini”。“绑匪”变种xt运行时，会在被感染系统的后台连接骇客指定的远程站点“http://www.fool*0.com/”，读取配置文件“nw.txt”，然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的威胁。

• 英文名称：Trojan/Scar.xby
• 中文名称：“毒疤”变种xby
• 病毒长度：41984字节
• 病毒类型：木马
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：9bcb38794bcdbe32fd35a1b9766ca4cd
• 特征描述：

Trojan/Scar.xby“毒疤”变种xby是“毒疤”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“毒疤”变种xby运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下。后台连接骇客指定的远程站点“http://cc.lol*ke.com/NewCC/”，读取配置文件“0504_1.txt”，然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。“毒疤”变种xby在执行完毕后会将自身删除，从而达到消除痕迹的目的。另外，“毒疤”变种xby会在被感染计算机中注册名为“WademotaSterr”的系统服务，以此实现开机自动运行。

• 英文名称：TrojanDropper.Flystud.bbl
• 中文名称：“苍蝇贼”变种bbl
• 病毒长度：1404634字节
• 病毒类型：木马释放器
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：01bb8390290f9554d6e96b3e8a891e93
• 特征描述：

TrojanDropper.Flystud.bbl“苍蝇贼”变种bbl是“苍蝇贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“苍蝇贼”变种bbl运行后，会自我复制到被感染系统的“%SystemRoot%\system32\ACF7EF\”文件夹下，重新命名为“74BE16.EXE”。“苍蝇贼”变种bbl运行时，会在被感染系统的“%SystemRoot%\system32\5A8DCC\ ”和“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夹下分别释放大量由易语言编写的恶意程序。这些程序可能是网络游戏盗号木马、远程控制后门或恶意广告程序等，致使用户面临更多的威胁。另外，其会在开始菜单“启动”文件夹下添加名为“74BE16.lnk”的快捷方式（指向恶意程序“74BE16.EXE”），以此实现开机自启。

• 英文名称：TrojanClicker/Agent.deo
• 中文名称：“代理木马”变种deo
• 病毒长度：991683字节
• 病毒类型：木马点击器
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：88956f5dbfa271a62e0d8e7e8ba1a41e
• 特征描述：

TrojanClicker/Agent.deo“代理木马”变种deo是“代理木马”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“代理木马”变种deo运行后，会在被感染系统的“%SystemRoot%\GameSetup\”文件夹下释放恶意脚本文件“2xi.vbs”、“minigame.vbs ”、“taobao.vbs”、“Internet.vbs”以及一些图标文件，还会在“%ALLUSERSPROFILE%\「开始」菜单\程序\”文件夹下和IE收藏夹中创建大量的Internet快捷方式，诱导用户对指定站点进行访问。文件释放完成后，“代理木马”变种deo会弹出对话框“win游戏成功安装”，然后弹出指定的页面。“代理木马”变种deo还会强行设置被感染系统IE浏览器主页为骇客指定站点“http://www.hao123*333.net/cp.html”，致使用户在启动IE浏览器后便会自动连接至该站点，以此增加了其访问量，给骇客带来了非法的经济利益。

• 英文名称：TrojanDownloader.Selvice.fo
• 中文名称：“塞沃斯”变种fo
• 病毒长度：28672字节
• 病毒类型：木马下载器
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：e0c110cf0581e89dcd36355bb2a4dff8
• 特征描述：

TrojanDownloader.Selvice.fo“塞沃斯”变种fo是“塞沃斯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“塞沃斯”变种fo运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“mogsgjh.exe”，之后在后台调用运行。在桌面和IE收藏夹中创建多个Internet快捷方式，以此诱导用户进行访问，从而给骇客带来了非法的经济利益。“塞沃斯”变种fo运行时，会在被感染系统的后台连接骇客指定的站点“http://wwv.36*350.cn/news/”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

TrojanDownloader.Adload.jhm“埃德罗”变种jhm是“埃德罗”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“埃德罗”变种jhm运行后，会在被感染系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下分别释放恶意DLL组件“jgqk0.dll”，还会在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“gggg7.dll”和“jgqkm.dll”。遍历当前系统中运行的所有进程，一旦发现指定进程“ravmond.exe”和“360tray.exe”存在，便会尝试将其结束。“埃德罗”变种jhm运行时，会在后台连接骇客指定的远程站点“221.194.*.33:80”，获取恶意程序下载列表，然后下载文件中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

• 英文名称：Trojan/PSW.Eruwbi.eh
• 中文名称：“吸金者”变种eh
• 病毒长度：72192字节
• 病毒类型：盗号木马
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：d16e0545fc8da4d14045ade50bc24cba
• 特征描述：

Trojan/PSW.Eruwbi.eh“吸金者”变种eh是“吸金者”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“吸金者”变种eh运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放图标文件“www_qvod8_com.ico”和“www_gxgx_com.ico”（文件属性设置为“系统、隐藏、只读”），还会删除快捷启动文件夹下的IE快捷方式，并且在“%USERPROFILE%\「开始」菜单\程序”文件夹下和桌面上创建假冒的IE快捷方式和多个Internet快捷方式。当用户通过这些快捷方式启动IE浏览器后，会自动访问骇客指定的站点“http://www.2*8.cn/?tn=meiyingie.com”，从而增加了这些网站的访问量，给骇客带来了非法的经济利益。

• 英文名称：Trojan/PSW.Bjlog.jj
• 中文名称：“绑架犯”变种jj
• 病毒长度：192512字节
• 病毒类型：盗号木马
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：5bc532b047e1a2f3602a92825dfe7234
• 特征描述：

Trojan/PSW.Bjlog.jj“绑架犯”变种jj是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“绑架犯”变种jj运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“ouxexvxnoy.log”，然后会将“ouxexvxnoy.log”复制到“%ALLUSERSPROFILE%\DRM\”文件夹下，重新命名为“boywp.lnk”。“绑架犯”变种jj运行后，会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与控制端（IP地址为219.132.*.27:77）进行连接，一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，“绑架犯”变种jj会在被感染计算机中注册名为“ias”的系统服务，以此实现开机自动运行。

• 英文名称：Trojan/VB.zvl
• 中文名称：“视频宝宝”变种zvl
• 病毒长度：76340字节
• 病毒类型：木马
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：509a9da3d09e8c8b69bb0fe5a29c3c91
• 特征描述：

Trojan/VB.zvl“视频宝宝”变种zvl是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种zvl运行后，会在被感染系统的“%programfiles%\WindowsUpdate\”文件夹下释放图标文件“youhuo.ico”，恶意程序“TXP1atform.exe”和“svch0st.exe”。“视频宝宝”变种zvl运行时，会在后台调用执行“svch0st.exe”。“svch0st.exe”运行后，会与控制端（IP地址为：61.147.*.173:80）进行连接。如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，其会在开始菜单“启动”文件夹下添加名为“Windows服务管理器.lnk”的快捷方式（指向“svch0st.exe”），以此实现相关恶意程序的开机自启。

Trojan/Buzus.hkf“霸族”变种hkf是“霸族”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“霸族”变种hkf运行后，会自我复制到被感染系统的“%programfiles%\Common Files\”文件夹下，重新命名为“SafeDrv.exe”，文件属性设置为“隐藏”。其还会在“%USERPROFILE%”文件夹下释放经过加壳保护的恶意驱动程序“lmiwn.drv”并调用运行。在被感染计算机的系统盘根目录下创建“autorun.inf”，以此实现双击盘符后激活指定恶意程序的目的，从而给被感染计算机用户造成更多的威胁。另外，其会收集被感染计算机的相关信息，之后发送到骇客指定的页面“http://www.tj*vod.com/ax/Count.asp”，从而对用户的私密信息造成了不同程度的侵害。“霸族”变种hkf还会遍历当前系统中运行的所有进程，一旦发现某些安全软件的进程存在，便会尝试将其结束，致使被感染系统失去安全软件的保护。另外，“霸族”变种hkf会通过在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

• 英文名称：TrojanDownloader.Geral.bnm
• 中文名称：“变异体”变种bnm
• 病毒长度：37263字节
• 病毒类型：木马下载器
• 危险级别：★★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：6f63626a536678cd1dc3d6343efdff6b
• 特征描述：

TrojanDownloader.Geral.bnm“变异体”变种bnm是“变异体”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“变异体”变种bnm运行后，会释放恶意DLL组件“CCtest.dll”至被感染系统的“%programfiles%\RAV\”文件夹下。另外，还会在相同文件夹和“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“CCtest.sys”。遍历当前系统中运行的所有进程，一旦发现某些指定的安全软件存在，“变异体”变种bnm便会尝试将其强行关闭，以此达到自我保护的目的。“变异体”变种bnm运行时，会在被感染系统的后台连接骇客指定的站点“121.11.*.168”，获取恶意程序下载列表，然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“变异体”变种bnm会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

Trojan/Pincav.fed“恶推客”变种fed是“恶推客”家族中的最新成员之一，采用 “Microsoft Visual Basic 5.0 / 6.0”编写。“恶推客”变种fed运行后，会在被感染系统的 “%SystemRoot%\”文件夹下释放恶意程序“win_32.exe”、图标文件“Game.Ico”、“movie.Ico”、 “taobao2.Ico”。“恶推客”变种fed运行时，会在被感染计算机上定时弹出恶意广告网页，从而给用户造成不同程度的干扰。其还会从骇客指定的 站点下载恶意程序并在被感染计算机上自动调用运行，致使用户面临着不同程度的威胁。“恶推客”变种fed会强行篡改被感染系统IE浏览器的默认主页，致使 用户在打开IE浏览器后便会自动访问骇客指定站点“http://www.1*2.com/”，从而给骇客带来了非法的经济利益。另外，“恶推客”变种 fed还会在被感染系统的后台连接骇客指定的远程站点“76.73.*.139”，获取配置文件（内容被加密，其中包括病毒的版本号、更新日期、恶意站点 的URL等），然后会根据文件中设置的信息执行相应的恶意操作。

• 英文名称：Trojan/Generic.bpx
• 中文名称：“通犯”变种bpx
• 病毒长度：27136字节
• 病毒类型：木马
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：23d01d83d60a8c41b7cd8eb028fa1432
• 特征描述：

Trojan/Generic.bpx“通犯”变种bpx是“通犯”家族中的最新成员之一，采用 “Microsoft Visual C++ 6.0”编写。“通犯”变种bpx运行后，会在被感染系统的“%SystemRoot%\system32 \”文件夹下释放恶意DLL组件“ADMon.dll”。其会将“ADMon.dll”注入到系统进程“svchost.exe”的内存空间中隐秘运行， 之后会不断尝试与控制端进行连接。一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中 包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），致使被感染系统用户的信息安全 面临严重的威胁。另外，“通犯”变种bpx会在被感染计算机中注册名为“ADMon”的系统服务，以此实现木马的开机自启动。

• 英文名称：TrojanDropper.BHO.fp
• 中文名称：“BHO劫持者”变种fp
• 病毒长度：54272字节
• 病毒类型：木马释放器
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：5bbf986ea9d623cfb81f51603b1fbebb
• 特征描述：

TrojanDropper.BHO.fp“BHO劫持者”变种fp是“BHO劫持者”家族中的最新成员之一，采用 “Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“BHO劫持者”变种fp运行后，会在被感染系统的 “%SystemRoot%\”文件夹下释放恶意文件“search.reg”、“reg.reg”、“ShowIeLinkIe6.reg”、 “ShowIeLinkIe7.reg”、“qq.exe”、“updateLnk.vbe”、“SIndex.reg”，还会在新创建的目录 “%SystemRoot%\mys\”下释放“Qvod7928.736.dll”，在“%SystemRoot%\miss\”下释放 “dlldll.vbe”，在“%SystemRoot%\mysss\”下释放“ie.exe”，在“%SystemRoot%\host\”下释放 “smss.exe”。这些恶意程序可能是网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临着更多威胁。“BHO劫持者”变种 fp会在桌面上创建假冒的IE快捷方式，当用户通过这个快捷方式启动IE浏览器后，会自动访问骇客指定的网站“http://www.di*xin.cn /?ie”，从而给骇客带来了非法的经济利益。“BHO劫持者”变种fp还会不断尝试与控制端（IP地址为58.211.*.12:80）进行连接，一旦 连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操 作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），从而给用户的信息安全构成了严重的威胁。

• 英文名称：TrojanDropper.Wansrog.c
• 中文名称：“大罗格”变种c
• 病毒长度：81408字节
• 病毒类型：木马释放器
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：5e01b6c5d983b5b2eba834b208baba49
• 特征描述：

TrojanDropper.Wansrog.c“大罗格”变种c是“大罗格”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“大 罗格”变种c运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“qhncc.dll”、 “evbqq.dll”和文件名随机的“*.dat”，还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶 意文件“95.tmp”。在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，“大罗格”变种c便会尝试将其强行关闭， 以此达到自我保护的目的。在被感染系统的后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制 后门或恶意广告程序（流氓软件）等，从而给用户造成了不同程度的威胁。

TrojanDownloader.Adload.jjg“埃德罗”变种jjg是“埃德罗”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“埃德罗”变种jjg运行后，会在被感染系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下分别释放恶意DLL组件“dxuc1.dll”，还会在“%SystemRoot%\system32\”文件夹下释放“dxucf.dll”、“ggsss7.dll”。释放完成后，原病毒程序会释放批处理文件“3750540.bat”并调用运行，以此将自身删除。“埃德罗”变种jjg会在被感染计算机的后台遍历当前系统中运行的所有进程，一旦发现“ravmond.exe”和“360tray.exe”存在，便会尝试将其结束，从而达到自我保护的目的。“埃德罗”变种jjg运行时，会在后台访问骇客指定的站点“www.love*580.cn”，从而提高了指定站点的访问量。秘密连接骇客指定的站点221.194.*.33:80，侦听骇客指令，在被感染计算机上执行相应的恶意操作。骇客可通过“埃德罗”变种jjg完全远程控制被感染的计算机系统，致使用户的计算机安全和个人隐私面临着严重的侵害。另外，“埃德罗”变种jjg会将释放的“ggsss7.dll”注册成BHO（Browser Helper Object，浏览器辅助对象），以此实现指定恶意文件开机自动运行的目的。

• 英文名称：Trojan/Scar.wmx
• 中文名称：“毒疤”变种wmx
• 病毒长度：40960字节
• 病毒类型：木马
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：0e4df0725b69b855efa9665a319fcdfa
• 特征描述：

Trojan/Scar.wmx“毒疤”变种wmx是“毒疤”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“毒疤”变种wmx运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下。不断尝试与控制端（IP地址为204.45.*.110:80）进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的系统发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），致使被感染系统的用户面临着严重的威胁。另外，“毒疤”变种wmx会在被感染计算机中注册名为“Wafter Comennection Driverr”的系统服务，以此实现开机自动运行。

Trojan/PSW.Eruwbi.dv“吸金者”变种dv是“吸金者”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“吸金者”变种dv会将程序图标伪装成“windows media player”样式，以此诱骗用户点击运行。“吸金者”变种dv运行后，会弹出内容为“如果出现安全提示，请点击允许操作即可正常安装。”的对话框。在桌面上创建假冒的IE快捷方式（指向“http://www.w*4321.com/?system”），还会删除“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”文件夹下的IE快捷方式以及“%ALLUSERSPROFILE%\Application Data\Microsoft\Internet Explorer\”文件夹。在“%USERPROFILE%\Favorite”下创建大量的Internet快捷方式，以此诱导用户访问指定的站点，从而给骇客带来了非法的经济利益。“吸金者”变种dv在执行完上述操作后，会弹出对话框“安装终止！”，当用户点击“确定”按钮后，会自动开启IE浏览器并访问指定的站点。

• 英文名称：Trojan/Pasta.dup
• 中文名称：“小广告”变种dup
• 病毒长度：9444字节
• 病毒类型：木马
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：14d871223e3c9bc99f024274c714efec
• 特征描述：

Trojan/Pasta.dup“小广告”变种dup是“小广告”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“小广告”变种dup运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“cfmon.exe”。“小广告”变种dup运行时，会在被感染系统中定时弹出恶意广告网页或恶意广告条窗口（这些恶意广告网页中可能包含网页木马，会给存在漏洞的计算机系统造成不同程度的安全隐患），从而给骇客带来非法的经济利益。其还会强行篡改被感染计算机的IE主页为骇客指定站点“http://www.07*29.com/”，致使用户在开启IE浏览器后便会自动连接至该站点。另外，“小广告”变种dup会占用大量的系统资源，会对被感染系统的正常使用造成不同程度的影响。

Trojan/PSW.Bjlog.hc“绑架犯”变种hc是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“绑架犯”变种hc运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“ukhjksfhki.log”，之后会将其复制到“%USERPROFILE%\Application Data\royoo\”文件夹下，重新命名为“fexbm.xm”。“绑架犯”变种hc是一个专门盗取网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题。一旦发现指定窗口存在，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上（IP为60.169.*.99:1210），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“绑架犯”变种hc会在被感染计算机中注册名为“ias”的系统服务，以此实现盗号木马的开机自启。

• 英文名称：TrojanDropper.Flystud.bam
• 中文名称：“苍蝇贼”变种bam
• 病毒长度：1229002字节
• 病毒类型：木马释放器
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：9a33fc6f18f12f8d615257fef566be95
• 特征描述：

TrojanDropper.Flystud.bam“苍蝇贼”变种bam是“苍蝇贼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“苍蝇贼”变种bam运行后，会自我复制到被感染系统的“%SystemRoot%\system32\00A052\”文件夹下，重新命名为“5242ED.EXE”。“苍蝇贼”变种bam运行时，会在被感染系统的“%SystemRoot%\system32\AEE214\ ”和“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夹下分别释放大量易语言编写的恶意程序，这些程序有可能是网络游戏盗号木马、远程控制后门或恶意广告程序等，致使用户面临更多的威胁。另外，其会在开始菜单“启动”文件夹下添加名为“DF3DDD.lnk”的快捷方式（指向自身副本），以此实现开机自动运行。

Trojan/Generic.bri“通犯”变种bri是“通犯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“通犯”变种bri运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“VMProtect.exe”。“通犯”变种bri会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行，之后会不断尝试与控制端（IP地址为：58.62.*.82:1987）进行连接。一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。其还会在被感染计算机的后台遍历当前系统中运行的所有进程，一旦发现某些指定的安全软件正在运行，便会尝试将其强行关闭，以此达到自我保护的目的。另外，“通犯”变种bri会在被感染计算机中注册名为“VMProtect”的系统服务，以此实现木马的开机自启。

• 英文名称：Trojan/Vilsel.hjy
• 中文名称：“危鬼”变种hjy
• 病毒长度：23040字节
• 病毒类型：木马
• 危险级别：★★
• 影响平台：Win 9X/ME/NT/2000/XP/2003
• MD5 校验：6d4eade78054adf75dd86faf3ffacc8c
• 特征描述：

Trojan/Vilsel.hjy“危鬼”变种hjy是“危鬼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“通犯”变种hjy运行后，会关闭windows文件保护功能，然后将被感染系统“%SystemRoot%\system32\”文件夹下的“msimg32.dll”重新命名为“msimg32.new”，之后会释放假冒的系统文件“msimg32.dll”及恶意文件“45utre3w5ytsdfa56y.ime”（“45utre3w5ytsdfa56y.ime”文件运行后系统中会新增名为“中文(简体) - 智能 DEF”的假冒输入法）。“通犯”变种hjy是一个专门盗取“DNFOnline”网络游戏会员账号的木马程序，其会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题，之后会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。

Trojan/Fakeav.kl“冒充者”变种kl是“冒充者”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“冒充者”变种kl运行后，会自我复制到被感染系统的“%programfiles%\Common Files\MSSoap\Binaries\”、“%programfiles%\VMware\VMware Tools\VAssert SDK\bin\win32\”、“%programfiles%\Common Files\System\Ole DB\”、“%programfiles%\Common Files\VMware\Drivers\”等文件夹下，重新命名为“WiSC10WiSC10.exe”、“libVAssertTools.exe”、“msdasqlrmsdaosp2.81.1132.0.0804130852.exe”、“vmcivmci.exe”。“冒充者”变种kl运行时，会不断尝试与控制端（IP地址为：204.12.*.173:80和207.46.*.221:80）进行连接。一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。另外，“冒充者”变种kl会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

• 英文名称：TrojanClicker.Agent.dce
• 中文名称：“代理木马”变种dce
• 病毒长度：1159433字节
• 病毒类型：木马点击器
• 危险级别：★
• 影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
• MD5 校验：15b419e0966cb872f18085ef556375f9
• 特征描述：

TrojanClicker.Agent.dce“代理木马”变种dce是“代理木马”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“代理木马”变种dce运行后，会在被感染系统的“%programfiles%\Win32Games\”文件夹下释放恶意脚本文件“2xi.vbs”、“minigame.vbs ”、“taobao.vbs”、“Internet.vbs”以及一些图标文件，还会在“%ALLUSERSPROFILE%\「开始」菜单\程序\”文件夹和桌面上创建假冒的IE快捷方式以及大量的Internet快捷方式。释放完成后，其会弹出对话框“win游戏成功安装”，以此诱骗用户。“代理木马”变种dce还会强行篡改被感染系统的IE浏览器主页为骇客指定站点“http://www.6*6.net/yx.html”，致使用户在打开IE浏览器后便会自动连接至该站点，从而给骇客带来了非法的经济利益。