江民今日提醒您注意：在今天的病毒中Trojan/Chifrax.ol"橘色誘惑"變種ol和Trojan/PSW.WOW.ahe"魔獸賊"變種ahe值得關(guān)注。

英文名稱：Trojan/Chifrax.ol

中文名稱："橘色誘惑"變種ol

病毒長度：288105字節(jié)

病毒類型：木馬

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：5f6eb2e5f76fb2ff91033d3f9fac331e

特征描述：

Trojan/Chifrax.ol"橘色誘惑"變種ol是"橘色誘惑"木馬家族中的最新成員之一，采用SFX自解壓格式存儲。"橘色誘惑"變種ol運行后，會在"%SystemRoot%system32"文件夾下釋放惡意程序"fz1.exe"和快播視頻點播軟件"Qvod3.exe"。"fz1.exe"運行后，會在被感染系統(tǒng)的"%SystemRoot%system32"目錄下釋放惡意DLL組件"killdll.dll"，在"%SystemRoot%system32drivers"目錄下釋放惡意驅(qū)動程序"pcidump.sys"、"aec.SYS"或者"AsyncMac.sys"，還會在臨時文件夾下釋放惡意程序"update~.exe"，并通過惡意驅(qū)動替換系統(tǒng)文件"userinit.exe"，以此達到開機自啟動的目的。自我復制到"%SystemRoot%system32"目錄下，并重新命名為"scvhost.exe"。利用其釋放的惡意驅(qū)動程序關(guān)閉安全軟件的自保護功能，同時終止大量的安全軟件、系統(tǒng)工具、應用程序的進程和相關(guān)的系統(tǒng)服務等，致使用戶的計算機系統(tǒng)失去保護。連接駭客指定的遠程服務器站點"http://d.qv7*8.com/"，讀取配置文件"..host.txt"，按照其中的配置修改"%SystemRoot%system32driversetchosts"文件，通過域名映像劫持功能屏蔽大量的站點。獲取惡意程序下載列表"..down