Trojan/PSW.Agent.geh"代理木馬"變種geh是"代理木馬"木馬家族的最新成員之一，采用Delphi編寫(xiě)，并經(jīng)過(guò)添加保護(hù)殼處理。"代理木馬"變種geh運(yùn)行后，自我復(fù)制到被感染計(jì)算機(jī)"%SystemRoot%MayaBaby"目錄下，重命名為"MayaBabyMain.exe"。自我注冊(cè)為系統(tǒng)服務(wù)，實(shí)現(xiàn)木馬開(kāi)機(jī)自動(dòng)運(yùn)行。在"%SystemRoot%MayaBaby"目錄下釋放木馬組件"MayaBabyDll.dat"和惡意驅(qū)動(dòng)程序"MayaBabySYS.dat"。將病毒代碼注入到系統(tǒng)進(jìn)程"smss.exe"中運(yùn)行，隱藏自我，防止被查殺。加載釋放出來(lái)的惡意驅(qū)動(dòng)程序來(lái)恢復(fù)系統(tǒng)SSDT，致使部分安全軟件的監(jiān)控失效。查找并強(qiáng)行關(guān)閉大量流行的安全軟件，致使用戶計(jì)算機(jī)系統(tǒng)毫無(wú)安全保障。在被感染計(jì)算機(jī)的后臺(tái)連接駭客指定站點(diǎn)，下載大量的惡意程序并在被感染計(jì)算機(jī)上自動(dòng)運(yùn)行。所下載的惡意程序可能包含網(wǎng)游木馬、惡意廣告程序、后門(mén)等，給用戶帶來(lái)不同程度的損失。

病毒名稱(chēng)：Backdoor/Popwin.ao
中 文 名："泡泡"變種ao
病毒長(zhǎng)度：208384字節(jié)
病毒類(lèi)型：后門(mén)
危險(xiǎn)級(jí)別：★★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

Backdoor/Popwin.ao"泡泡"變種ao是"泡泡"后門(mén)家族的最新成員之一，采用高級(jí)語(yǔ)言編寫(xiě)，并經(jīng)過(guò)添加保護(hù)殼處理，是由某病毒釋放出來(lái)的DLL組件，一般被注冊(cè)為瀏覽器輔助插件(BHO)，隨系統(tǒng)瀏覽器的啟動(dòng)而自動(dòng)加載運(yùn)行。"泡泡"變種ao運(yùn)行于"iexplore.exe"進(jìn)程內(nèi)，隱藏自我，防止被查殺。強(qiáng)行篡改IE瀏覽器默認(rèn)首頁(yè)設(shè)置，增加某網(wǎng)站的訪問(wèn)量、提升alexa排名。強(qiáng)行篡改注冊(cè)表相關(guān)鍵值，致使"文件夾選項(xiàng)"中的"顯示隱藏文件"功能失效。在后臺(tái)竊取被感染計(jì)算機(jī)系統(tǒng)的配置信息(MAC地址、操作系統(tǒng)版本、用戶名、PC名等)，并將竊取到的信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上。躲避某些防火墻的監(jiān)控，查找并強(qiáng)行關(guān)閉某些安全軟件，大大降低被感染計(jì)算機(jī)上的安全性。另外，"泡泡"變種ao還可以自升級(jí)。

多易