17.11.20版新增80个可查杀病毒，主要包括： WINDOWS下的PE病毒(71)；脚本病毒(4)；普通文件病毒(5)；

WINDOWS下的PE病毒(71)

1.Backdoor.Huigezi.bm
破坏方法：后门病毒“灰鸽子”，Delphi 编写，被压缩。
主要特点：
  1。可以穿越防火墙远程控制用户机器。
  2。使用madCodeHook开发包接管若干API,隐藏病毒文件，给用户杀毒造成障碍。
病毒的破坏行为如下：

一、病毒主程序运行后，把自己复制到系统目录，命名为“G_server.exe”。
    Win9x和WinMe下，病毒添加自启动项SoftWare\Microsoft\Windows\CurrentVersion\Run
    NT平台下，创建服务“GrayPigeonServer”，以服务的方式启动病毒。

二、“G_server.exe”运行后，释放“G_server.dll”，然后把该dll注入到“Explorer.exe”病毒使用madCodeHook开发包的madRemote模块注模块。 

　　以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“G_server.dll”注入到IEXPLORE.EXE”中。这样，在防火墙看来，病毒的网络访问都是“IEXPLORE.EXE”，而且是80端口，都会认为是正常访问。从进程管理器中，用户自然看不到可疑进程。

三、“G_server.dll”是病毒后门功能模块，每隔30秒钟，向指定网址提交本地信息：
系统芯片:     
物理内存:     
Windows版本:  
Windows目录:  
注册公司:     
注册用户:     
当前用户:     
当前日期:     
开机时间:     
计算机名称:   
窗口分辨率:   
服务端版本:   
剪切板内容：
本地ip地址.

安装名称:     
VIP用户名:    
备用上线地址: 
上线分组:     
上线备注:     
连接密码:     
服务名称:     
服务显示名称: 
服务描述信息: 

   病毒提供下列远程控制功能：
安装文件    
启动键盘记录 
停止键盘记录 
结束指定的进程 
从新启动计算机 
启动CMD程序 
执行系统命令 
获取系统信息 
共享文件夹
从指定的地址中下载文件。
　　　
四、病毒把“G_Server_Hook.dll”使用madCodeHook开发包接管下列API。
kernel32.dll 的 FindNextFileA、FindNextFileW
ADVAPI32.DLL 的 EnumServicesStatusA、EnumServicesStatusW
ntdll.dll 的 NtQuerySystemInformation、NtTerminateProcess
  病毒有个共享数据区：“GPigeon5_Shared_HIDE”，里面可以包含四个文件，病毒这些文件病防止终止相应进程。所以，一旦感染病毒，用户看不到病毒文件。


2.Worm.Win32.Anker.a
破坏方法：一个用VB编写的蠕虫病毒,采用upx压缩
病毒行为:
  病毒运行后将自己复制到%system%目录下,文件名为:Server.exe 
   病毒会修改一些注册表键值，如:
   HKCU\software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   \DisallowRun     
   HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   \DisableTaskMgr     
   HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   \DisableRegistryTools     
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
  \Policies\Explorer\NoRun 
   ....
   以使用户无法使用注册表编辑工具等...
 
邮件标题:
  Service Pack 2 BUG!! 

邮件正文:
   Dear user I have been informed that there was a BUG in Windows Service Pack 2
   which was fixed I recommend you to download this Patch version which will fix the
   bug and keep your system safe.
   Body     
You will find the Patch file in the attachment, feal free to send it to anyone.   
I'll be in touch with you as soon as another bug is found.     
Regards, 
...
修改hosts文件:
   病毒在hosts文件中加入以下字串,使当前系统无法访问这些网站.
   127.0.0.1 www.symantec.com     
   127.0.0.1 www.microsoft.com     
   127.0.0.1 www.wwe.com     
   127.0.0.1 www.rohitab.com     
   127.0.0.1 www.coderheaven.com     
   127.0.0.1 www.astalavista.com     
   127.0.0.1 www.google.com     
   127.0.0.1 www.yahoo.com     
   127.0.0.1 www.msn.com     
   127.0.0.1 www.messenger.msn.com     
   127.0.0.1 www.geocities.com     
   127.0.0.1 www.worldsex.com     
   127.0.0.1 www.cnn.com     
   127.0.0.1 www.hackers.com     
   127.0.0.1 www.fbi.gov     
   127.0.0.1 www.hotmail.com     
   127.0.0.1 www.norton.com     
   127.0.0.1 www.idm.com 
   ....


3.I-Worm.Blowfish
破坏方法：Visual Basic写的蠕虫病毒
 该病毒特征如下：
 感染后将复制到系统目录中：
  C:\bl0wPHISH.doc                                        .exe (中间多个空格)
  C:\Windows\Fonts\The_PixiesDriver1_7_4.zip.exe
 修改注册表键值以图能随系统自动运行，相关键值为：
   HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   "bl0wPHISH_boot" = "C:\Windows\Fonts\The_PixiesDriver1_7_4.zip.exe"
   HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   "bl0wPHISH_boot" = "C:\Windows\Fonts\The_PixiesDriver1_7_4.zip.exe"
   在每一个分区的根目录下生成文件：
    C:\autorun.inf 
    内容为：Open="C:\SysBoot.EXE" /StartExplorer

  该病毒通过发送带毒的诱惑性的邮件，subject诸如：
   Hotmail Account Hacker
   Hotmail Hack
   Learn to Hack Hotmail
   Hotmail Hacking Tool
   Hack MSN Messenger
   Sale Receipt
   Your Details
   You Have been Hacked!
   Your E-Bay Account
   All Along the WatchTower
   Mail Delivery Failure : Message returned
   Mail delivery failed : returning message to sender
   等等，请用户对这类带有附件的不明邮件不要打开或运行其附件，以免感染病毒。


4.Worm.Novarg.ag
破坏方法：蠕虫病毒.Worm.Novarg的变种.
病毒行为:
  病毒运行后,将自己复制到%system%目录下,文件名为:Lsasrv.exe
随后病毒实现以下任务:
  1.修改hosts文件.
    127.0.0.1  symantec.com
    127.0.0.1  www.sophos.com
    127.0.0.1  www.mcafee.com
    127.0.0.1  liveupdate.symantecliveupdate.com
    127.0.0.1  www.viruslist.com
    127.0.0.1  viruslist.com
    127.0.0.1  www.f-secure.com
    127.0.0.1  kaspersky-labs.com
    127.0.0.1  www.my-etrust.com
    127.0.0.1  grisoft.com
    ...
   以使中了病毒的系统将不能访问这些网站.

 2.p2p传播:
  病毒从注册表Software\Kazaa\Transfer, SOFTWARE\Morpheus,SOFTWARE\iMesh\Client..
中读取一些p2p软件的共享目录路径.并将自己复制到这些目录中,以达到传播目的. 

 3.进程监控
  病毒不断遍历系统进程列表,当发现进程名为体内黑名单中的名字时,病毒将结束该进程.

 4.病毒将从特定的网站上下载文件并执行.

 5.邮件传播:
   病毒将从Software\Microsoft\WAB\WAB4\Wab中读取当前用户的wab文件,从硬盘目录及Temporary Internet Files及Local Settings目录中搜txt,htmb,phpq,cgiq,文件并从中获取email地址,向其发送带毒邮件.


5.I-Worm.Antigos
破坏方法：Visual Basic写的蠕虫病毒
 该病毒特征如下：
 伪装成：Macromedia, Inc 的 Flash Player 4.0 r7，感染后将复制到系统目录中：
 %WINDIR%\MSNCSBL100.EXE   （%WINDIR% 在Windows2000 中默认为C:\WINNT,在Windows XP中默认为C:\WINDOWS）
 修改注册表键值以图能随系统自动运行，相关键值为：
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   "msncsbl100" = "%WINDIR%\MSNCSBL100.EXE"
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   "msncsbl100" = "%WINDIR%\MSNCSBL100.EXE"
  该病毒通过Outlook邮件传播
  能够终止包含下列字眼的进程运行：
   APLICA32.EXE
   CFIADMIN.EXE
   CFIAUDIT.EXE
   CFINET32.EXE
   CFINET.EXE
   IAMSERV.EXE
   IAMAPP.EXE
   PCFWallIcon.EXE
   FRW.EXE
   VSHWIN32.EXE
   VSECOMR.EXE
   WEBSCANX.EXE
   AVCONSOL.EXE
   VSSTAT.EXE
   NAVAPW32.EXE
   NAVW32.EXE
   NMain.exe
   SAVSCAN.EXE
   NAVAPSVC.EXE
   NISUM.EXE
   _AVPM.EXE
   AVPM.EXE
   LOCKDOWN2000.EXE
   TDS2-98.EXE 
 

6.I-Worm.Merlin.a
破坏方法：Visual Basic写的蠕虫病毒
 该病毒特征如下：
 感染后将复制到系统目录中：
 %SYSDIR%\Explorer.exe   （%SYSDIR% 在Windows2000 中默认为C:\WINNT\SYSTEM32,在Windows XP中默认为C:\WINDOWS\SYSTEM32）
 同时也复制多份到系统临时目录:
  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SysTry.exe
  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\CTFMON.exe
  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Kiss.exe
 修改注册表键值以图能随系统自动运行，相关键值为：
   HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   "SysTry" = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SysTry.exe"
   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   "Shell" = "explorer.exe, %SYSDIR%\Explorer.exe"   （win2k 、winxp）
   system.ini   （9x、winme）
   [boot]
   shell = explorer.exe, %SYSDIR%\Explorer.exe
  该病毒通过在系统中搜索邮件地址并向搜到的地址发送带毒邮件


7.TrojanSpy.Win32.KeyLogger.ag
破坏方法：一个木马病毒，该病毒运行后将自己复制到
%system32%目录下文件名为：pcciomin.exe并在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run中加入自己的键值：server


8.TrojanDownloader.Win32.Winshow
破坏方法：一个自动下载器，从指定网站下载一个文件
并执行该文件。


9.I-Worm.Cheri.e
破坏方法：蠕虫病毒，通过mirc传播。


10.I-Worm.Cheri.f
破坏方法：蠕虫病毒，通过mirc传播。


11.I-Worm.Cheri.d
破坏方法：蠕虫病毒。


12.Backdoor.Redkod.b
破坏方法：后门程序。


13.Joke.Laorenshen.b
破坏方法：玩笑程序。


14.Backdoor.Rbot.aix


15.Trojan.Win32.Agent.av


16.TrojanSpy.Win32.Banker.jb


17.Backdoor.Win32.VB.aaa


18.Constructor.Win32.VB.ac


19.Backdoor.Redkod.c


20.Backdoor.Huigezi.bn


21.Hack.XyerEmail


22.Backdoor.Agobot.cs


23.Trojan.SyncroAd.g


24.Backdoor.Rbot.aiy


25.Trojan-Downloader.Win32.Leodon.h


26.HackTool.NetLogin


27.Trojan.Win32.Dialer.co.dll


28.Backdoor.Win32.Agent.ge.dll


29.Backdoor.Win32.Agent.ge


30.Backdoor.Win32.Agent.gh


31.Backdoor.Huigezi.bo


32.Backdoor.Win32.Agent.gm.Client


33.Backdoor.Win32.Agent.gm


34.Backdoor.Win32.Agobot.wj


35.Backdoor.Win32.Agobot.wk


36.Backdoor.Win32.SdBot.tw


37.Trojan.Startpage.hg


38.Flooder.Win32.VB.ap


39.Flooder.Win32.VB.aq


40.Flooder.Win32.VB.as


41.Flooder.Win32.VB.au


42.Flooder.Win32.VB.av


43.Flooder.Win32.VB.ab


44.Exploit.Win32.Kreedcrash.a


45.Exploit.Win32.MS03-039


46.Exploit.Win32.PhpBB.b


47.Exploit.Win32.PhpBB.c


48.Exploit.Win32.Remoexec.b


49.Exploit.Win32.RPC.a


50.Backdoor.SallBot.a


51.Backdoor.Shodabot.b


52.Backdoor.Wootbot.er


53.HackTool.BOSpy.190


54.HackTool.Morphine.13


55.Worm.Novarg.af


56.Backdoor.Rbot.ain


57.Worm.Crowt.a


58.Binder.Cjsb.a


59.Trojan.QQTail.ab


60.Backdoor.Rbot.aip


61.Backdoor.GPigeon.5.b


62.Trojan.PSW.LMir.abe


63.TrojanDownloader.Agent.gj


64.Backdoor.Wootbot.ex


65.Backdoor.Wortbot.a


66.Backdoor.Wortbot.c


67.TrojanProxy.Win32.Agent.ci


68.Trojan-Spy.Win32.VB.ec


69.Backdoor.Agobot.cr


70.Trojan.Startpage.hf


71.Hack.FireFox-ipcscan


脚本病毒(4)

72.Trojan.PSW.HTML.Bazoo


73.Backdoor.ASP.Rootkit.b


74.Exploit.HTML.DialogArg


75.TrojanDownloader.JS.Small.k


普通文件病毒(5)

76.Backdoor.SdBot.apb
破坏方法：Sdbot病毒变种。是一种IRC后门。集黑客，蠕虫，后门功能于一体。
通过局域网共享目录和利用系统漏洞进行传播。体内带有弱口令字典，用户如不注意设定密码则系统很容易被攻破。

一、文件
   将自己复制到系统目录下，文件名为“cracked.exe”，属性设置为隐藏、系统、只读。在系统默认设置下，用户看不到病毒文件。

二、注册表
 1。在下列键添加启动项“Windows Information”使病毒随Windows的启动而自动运行。
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \Run
        HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \RunServices
每隔60秒钟，病毒添加一次，防止用户删除。

三、病毒创建名称为"Peckno's Production"的互斥量防止自己重复运行。

四、监听本地113号TCP端口，等待连接，实现后门功能。

五、连接特定IRC服务器的特定频道（burnbox.shacknet.nu ），接受黑客控制，发送本地系统信息。接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。建立通讯后，接收远程控制命令。
   1. 偷用户正版游戏的序列号。
      Command & Conquer Generals 、
      FIFA 2003 、NFSHP2 、SOF2 、
      Soldier of Fortune II - Double Helix
      Battlefield 1942 
      Project IGI 2 、Unreal Tournament 2003 
      Half-Life
   2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接，把病毒复制过去，并运行起来，进行新的破坏。病毒带有一个密码字典，包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
   3. 记录键盘输入。通过这种方式可以获得用户的各种密码（Windows登陆、邮箱、论坛、游戏、网络支付等等）。
   4. 发动SYN 攻击，造成指定机器拒绝服务。
   5. 下载文件并运行。往往用作传递新的远程控制程序，进行直接控制。
   6.  终止系统的进程和线程。


77.DDoS.Win32.Small.c


78.Exploit.HTML.Iframebof


79.Backdoor.ASP.Ace.o


80.Script.mIRC.f