江民科技5月12日病毒播报

　　江民科技5月12日病毒播报：“视频宝宝”变种nrb和“变异体”变种bfd

　　英文名称：TrojanDropper.VB.nrb

　　中文名称：“视频宝宝”变种nrb

　　病毒长度：23460字节

　　病毒类型：木马释放器

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

　　MD5 校验：68e9cc21bb8404b434dc3268d2111fc9

　　特征描述：

　　TrojanDropper.VB.nrb“视频宝宝”变种nrb是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，经过加壳保护处理。“视频宝宝”变种nrb运行后，会在被感染系统“%SystemRoot%\system32\”文件夹下的 “dsound.dll”文件中加入恶意代码。

    另外，还会在“%SystemRoot%\system32\”和“%SystemRoot% \system32\dllcache\”文件夹下分别释放“d3de1_36.dll”、“d3de1_37.dll”、“dllms.exe”、 “dsound.dll”、“ddraw.dll”、“dsound.dllcDXDj”这些恶意文件。“视频宝宝”变种nrb运行时，会在被感染系统的后台连接骇客指定的站点“stt.dsd*wewe.com”，获取恶意程序下载列表，然后下载其中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。

　　英文名称： TrojanDownloader.Geral.bfd

　　中文名称：“变异体”变种bfd病毒长度：977920字节

　　病毒类型：木马下载器

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

　　MD5 校验：08231aa001474141f7bc425b8758b808

　　特征描述：

　　TrojanDownloader.Geral.bfd“变异体”变种bfd是“变异体”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种bfd运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件 “secSYS.dll”和“SYS.dll”，在“%SystemRoot%\”文件夹下释放“NtFile.exe”，并将以上文件的属性设置为“隐藏”。

    另外，还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“pcidump.sys”，并且删除 “%SystemRoot%\system32\drivers\etc”文件夹下的hosts文件。“变异体”变种bfd运行时，会在被感染计算机系统的后台连接骇客指定的站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的威胁。另外，其会通过创建名为“IPRIP”的服务的方式实现开机自启。