特征描述：
TrojanDropper.Dogrobot.a"惡犬"變種a是"惡犬"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫，經(jīng)過加殼保護(hù)處理。"惡犬"變種a運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"目錄下，重新命名為"scvhost.exe"。在該目錄下釋放惡意DLL組件"*.dll"，文件名隨機(jī)。另外還會(huì)在"%SystemRoot%"、"%SystemRoot%system32drivers"目錄下分別釋放惡意程序，并復(fù)制系統(tǒng)文件"wininet.dll"到臨時(shí)文件夾下以供調(diào)用。利用其釋放的惡意驅(qū)動(dòng)程序，"惡犬"變種a可以穿透一些系統(tǒng)還原程序的保護(hù)，并用惡意文件將"explorer.exe"覆蓋，以此實(shí)現(xiàn)開機(jī)自啟。其會(huì)用正常的"explorer.exe"替換"%SystemRoot%system32driversgm.dls"，之后將其復(fù)制到"%SystemRoot%TEMPexplorer.exe"，通過對(duì)該文件進(jìn)行調(diào)用，使得用戶開機(jī)時(shí)能夠正常顯示桌面，以此蒙蔽了用戶。其會(huì)監(jiān)視并關(guān)閉可能彈出的"Windows文件保護(hù)"窗口，從而使其在替換系統(tǒng)文件時(shí)不被用戶所發(fā)現(xiàn)。"惡犬"變種a運(yùn)行時(shí)，會(huì)關(guān)閉并禁用系統(tǒng)防火墻、Windows安全中心服務(wù)。關(guān)閉安全軟件的自我保護(hù)功能，終止大量的安全軟件、系統(tǒng)工具、應(yīng)用程序的進(jìn)程，同時(shí)還會(huì)通過關(guān)閉相關(guān)的服務(wù)、刪除關(guān)鍵文件、利用注冊(cè)表映像劫持等方式，干擾這些安全軟件的正常運(yùn)行，致使用戶的計(jì)算機(jī)失去保護(hù)。
在被感染系統(tǒng)的后臺(tái)連接經(jīng)過多次解密后得到的URL"http://ll800.kmi*.net/88.txt"，讀取該文件中存放的下載地址，然后下載惡意程序并自動(dòng)調(diào)用運(yùn)行。其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制木馬、廣告程序等，致使用戶面臨更多的威脅。另外，其還會(huì)向指定的頁面"http://liuliang.qvodcnz*.com/tj/v7/count.asp"反饋被感染計(jì)算機(jī)的信息。"惡犬"變種a會(huì)通過在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值"360safe"的方式實(shí)現(xiàn)木馬"scvhost.exe"的開機(jī)自動(dòng)運(yùn)行。

英文名稱：TrojanDownloader.Klever.c
中文名稱："搬運(yùn)賊"變種c
病毒長度：12800字節(jié)
病毒類型：木馬下載器
危險(xiǎn)級(jí)別：★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：f71fa0576db91ba08a30d336830437f4

特征描述：
TrojanDownloader.Klever.c"搬運(yùn)賊"變種c是"搬運(yùn)賊"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫。"搬運(yùn)賊"變種c運(yùn)行后，會(huì)在被感染系統(tǒng)的臨時(shí)文件夾下釋放惡意DLL組件"*don.dll"（*為一串隨機(jī)數(shù)），之后原病毒程序會(huì)將自我刪除，以此消除痕跡。"搬運(yùn)賊"變種c運(yùn)行時(shí)，會(huì)下載駭客指定的文件"http://www.celd*.info/an.txt"并保存為"%TEMP%3.log"。然后根據(jù)文件中的地址列表下載大量惡意程序并調(diào)用運(yùn)行，從而給用戶造成更多的威脅。另外，"搬運(yùn)賊"變種c會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值"hivew"，以此實(shí)現(xiàn)其釋放的DLL文件的開機(jī)自啟。

kuangmin