特征描述：
Worm/Abuse.f"歪風(fēng)"變種f是"歪風(fēng)"家族中的最新成員之一，經(jīng)過(guò)加殼保護(hù)處理。"歪風(fēng)"變種f運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%ProgramFiles%Common Files"目錄下，重新命名為"SysLive.exe"，文件屬性設(shè)置為"系統(tǒng)、隱藏"。在"%SystemRoot%fonts"目錄下釋放惡意DLL組件"*.DLL"（*為隨機(jī)5個(gè)字母，下同），在"%SystemRoot%fonts"和"%USERPROFILE%Local Settings"目錄下分別釋放惡意驅(qū)動(dòng)程序"*.fon"和"Temp~*.tmp"。"歪風(fēng)"變種f會(huì)在被感染系統(tǒng)重新啟動(dòng)時(shí)，用自身替換"%SystemRoot%system32dllcache"和"%SystemRoot%"目錄下的系統(tǒng)文件"explorer.exe"，以此實(shí)現(xiàn)開機(jī)自啟。上述過(guò)程完成后，其會(huì)將自我刪除，以此消除痕跡。創(chuàng)建新的"svchost.exe"和"iexplorer.exe"進(jìn)程，將惡意代碼注入其中隱秘運(yùn)行，提高了自身的隱蔽性。利用釋放的惡意驅(qū)動(dòng)程序關(guān)閉指定安全軟件的自我保護(hù)功能，同時(shí)終止其進(jìn)程，并通過(guò)強(qiáng)行篡改注冊(cè)表的方式干擾這些軟件的正常啟動(dòng)。其還會(huì)篡改hosts文件，從而阻止被感染系統(tǒng)用戶對(duì)某些安全站點(diǎn)進(jìn)行訪問(wèn)，防止用戶通過(guò)網(wǎng)絡(luò)獲得病毒的查殺信息。連接駭客指定的站點(diǎn)"http://3w.my2010*1.cn/"，獲取惡意程序下載列表"3w.txt"，然后下載文件中指定的惡意程序并自動(dòng)調(diào)用運(yùn)行，從而給用戶造成更多的威脅。其還會(huì)訪問(wèn)指定的頁(yè)面"http://tj.97aiww*.cn/mi/Count.asp"以反饋用戶的感染信息。"歪風(fēng)"變種f會(huì)在被感染計(jì)算機(jī)的系統(tǒng)盤根目錄下創(chuàng)建"autorun.inf"和蠕蟲主程序文件副本，文件屬性設(shè)置為"系統(tǒng)、隱藏"，以此實(shí)現(xiàn)雙擊盤符后激活蠕蟲的目的，從而給用戶造成更多的威脅。另外，"歪風(fēng)"變種f會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值，以此實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行。

英文名稱：Trojan/Pincav.pb
中文名稱："惡推客"變種pb
病毒長(zhǎng)度：57904字節(jié)
病毒類型：木馬
危險(xiǎn)級(jí)別：★★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：7fd3b6438f7ac6aba31d3f54d3e0760a

特征描述：
Trojan/Pincav.pb"惡推客"變種pb是"惡推客"家族中的最新成員之一，經(jīng)過(guò)加殼保護(hù)處理。"惡推客"變種pb運(yùn)行后，會(huì)在被感染系統(tǒng)的臨時(shí)文件夾下釋放經(jīng)過(guò)加殼保護(hù)的惡意程序"wscript.exe"，文件屬性設(shè)置為"隱藏"。修改系統(tǒng)時(shí)間，致使某些安全軟件因授權(quán)過(guò)期而無(wú)法正常使用，以此提高了自身的生存幾率。下載駭客指定的惡意程序"http://www.tw78*.com/ya.exe"，從而給用戶造成更大威脅。執(zhí)行完上述操作后，病毒原程序會(huì)將自我刪除，以此消除痕跡。

kuangmin