特征描述：
Trojan/Clicker.ue"鞋匠"變種ue是"鞋匠"家族中的最新成員之一，采用"Microsoft Visual Basic 5.0 / 6.0"編寫。"鞋匠"變種ue運行后，會自我復(fù)制到被感染計算機系統(tǒng)的"C:Windows"文件夾下，重新命名為"auutr.exe"。還會在"%SystemRoot%system32"文件夾下釋放惡意程序"audtr.exe"并調(diào)用運行。"鞋匠"變種ue運行時，會下載配置文件"http://www.ah*tiankang.cn/sm4.txt"并保存為"setting.ini"。根據(jù)其中的設(shè)置，用戶在訪問特定的網(wǎng)站（例如"淘寶"、"當當"、"360buy"、"Google"等）時將會打開指定的廣告頁面，駭客則利用此種方式進行非法利益的牟取。"鞋匠"變種ue還能鎖定用戶的IE瀏覽器主頁，并且會通過"http://www.ah*tiankang.cn/tongjism4/count.asp"進行被感染計算機的統(tǒng)計。另外，"鞋匠"變種ue會通過修改注冊表的方式實現(xiàn)開機自動運行。

英文名稱：Backdoor/Bifrose.qcw
中文名稱："比福洛斯"變種qcw
病毒長度：40317字節(jié)
病毒類型：后門
危險級別：★★
影響平臺：Win 9X/ME/NT/2000/XP/2003
MD5 校驗：089699cd95cce14fb763ca9368d9abf1

特征描述：
Backdoor/Bifrose.qcw"比福洛斯"變種qcw是"比福洛斯"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫。"比福洛斯"變種qcw運行后，會將加密的惡意代碼注入到"explorer.exe"和新建的"iexplore.exe"進程中隱秘運行，同時會將"iexplore.exe"進程隱藏，避免被輕易地查殺。"比福洛斯"變種qcw運行時，會試圖關(guān)閉某些特定的殺毒軟件及防火墻進程。不斷嘗試與控制端（地址為：h00700.no*ip.org:81）進行連接，如果連接成功，則被感染的計算機便會成為傀儡主機，并進行下載其它惡意程序、建立代理服務(wù)、開啟后門等等惡意操作，從而給用戶的信息安全構(gòu)成更加嚴重的威脅。"比福洛斯"變種qcw可能會將自身復(fù)制到"%USERPROFILE%Application Data"文件夾下，并會通過在注冊表啟動項中添加鍵值的方式實現(xiàn)開機自啟動。

kuangmin