特征描述：
TrojanDropper.Agent.afww"代理木馬"變種afww是"代理木馬"家族中的最新成員之一，經(jīng)過加殼保護(hù)處理。"代理木馬"變種afww運(yùn)行后，會自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"目錄下，重新命名為"scvhost.exe"。在該目錄下釋放惡意DLL組件"test.tt"，在"%SystemRoot%"目錄下釋放惡意程序"*.exe"（*為隨機(jī)數(shù)），在"%SystemRoot%system32drivers"目錄下釋放惡意驅(qū)動程序"pcidump.sys"，另外還會復(fù)制系統(tǒng)文件"wininet.dll"到臨時(shí)文件夾下以供調(diào)用。"代理木馬"變種afww可以穿透一些系統(tǒng)還原程序的保護(hù)，并用惡意文件覆蓋"explorer.exe"。其會用正常的"explorer.exe"替換"%SystemRoot%system32driversgm.dls"，之后將其復(fù)制到"%SystemRoot%TEMPexplorer.exe"，通過對該文件進(jìn)行調(diào)用，使得用戶開機(jī)時(shí)能夠正常顯示桌面，以此蒙蔽了用戶。其會監(jiān)視并關(guān)閉可能彈出的"Windows文件保護(hù)"窗口，從而使其在替換系統(tǒng)文件時(shí)不被用戶所發(fā)現(xiàn)。"危鬼"變種dz運(yùn)行時(shí)，會關(guān)閉并禁用系統(tǒng)防火墻、Windows安全中心服務(wù)。關(guān)閉安全軟件的自我保護(hù)功能，終止大量的安全軟件、系統(tǒng)工具、應(yīng)用程序的進(jìn)程，同時(shí)還會通過關(guān)閉相關(guān)的服務(wù)、刪除關(guān)鍵文件、利用注冊表映像劫持等方式，干擾這些安全軟件的正常運(yùn)行，致使用戶的計(jì)算機(jī)失去保護(hù)。利用域名映像劫持屏蔽大量的安全類站點(diǎn)，使得用戶無法通過網(wǎng)絡(luò)獲取病毒查殺信息。在被感染系統(tǒng)的后臺連接經(jīng)過多次解密后得到的URL"http://fack.dns075*.net/88.txt"，讀取該文件中存放的下載地址，然后下載惡意程序并自動調(diào)用運(yùn)行。其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬、遠(yuǎn)程控制木馬、廣告程序等，致使用戶面臨更多的威脅。另外，其還會向駭客指定的頁面"http://zhongt*.com/tj/v7/count.asp"反饋被感染計(jì)算機(jī)的基本信息。"代理木馬"變種afww會在被感染系統(tǒng)注冊表啟動項(xiàng)中添加鍵值"360safe"，以此實(shí)現(xiàn)木馬"scvhost.exe"的開機(jī)自啟。

英文名稱：Backdoor/Katien.e
中文名稱："歪卡"變種e
病毒長度：49152字節(jié)
病毒類型：后門
危險(xiǎn)級別：★
影響平臺：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：1118ef48df5b1337c2ee1749f08f2e9c

特征描述：
Backdoor/Katien.e"歪卡"變種e是"歪卡"家族中的最新成員之一，采用"Microsoft Visual C++ 7.0"編寫。"歪卡"變種e可利用IRC協(xié)議（互聯(lián)網(wǎng)中繼聊天）與服務(wù)器（error.isa*geek.net:6667等）進(jìn)行命令交互，其會從自帶的十八個域名中隨機(jī)選取進(jìn)行連接，直到連接成功，以此達(dá)到了遠(yuǎn)程控制的目的。"歪卡"變種e可根據(jù)服務(wù)器傳送的指令，執(zhí)行下載惡意程序、對指定IP地址及端口發(fā)動DDos攻擊、自動更新客戶端、系統(tǒng)服務(wù)管理等操作，從而給用戶造成不同程度的安全威脅。另外，"歪卡"變種e會在被感染系統(tǒng)注冊表啟動項(xiàng)中添加鍵值"Service"，以此實(shí)現(xiàn)后門的開機(jī)自動運(yùn)行。

kuangmin