亂飛蟲

英文名稱：Trojan/Agent.aylm

中文名稱：“代理木馬”變種aylm

病毒長度：22908位元組

病毒類型：木馬

危險級別：★★

Win 9X/ME/NT/2000/XP/2003

MD5 校驗：8235db760d98482ed4a67a9c1b2de54d

Trojan/Agent.aylm“代理木馬”變種aylm是“代理木馬”家族中的最新成員之一，採用“MicrosoftVisual C++6.0”編寫，並且經過加殼保護處理。“代理木馬”變種aylm運行後，會在被感染計算機系統的“%SystemRoot%\system32\”目錄下釋放經過加殼保護的惡意DLL組件“bjrvm.dll”和“msepbe.dll”（檔案屬性為“系統、隱藏”），並修改檔案的時間屬性為系統安裝日期，以此迷惑用戶，更好的隱藏了自我。同時，還會在相同目錄下創建配置檔案“bjrvm.cfg”和釋放惡意驅動程式“mseion.sys”。“代理木馬”變種aylm釋放的組件會在被感染計算機的後台遍歷當前系統中所有正在運行的進程，一旦發現指定的安全軟體存在，便會嘗試將其結束。還會對木馬的相關進程進行守護，從而防止被輕易地查殺，達到了自我保護的目的。其釋放的惡意驅動程式會利用rootkit技術將木馬檔案、註冊表鍵值以及進程等木馬相關項目進行隱藏，增強了隱蔽性，提高了木馬的生存幾率。“代理木馬”變種aylm是一個專門盜取“夢幻西遊”網路遊戲會員賬號的木馬程式，運行後會首先確認自身是否已經被成功地插入到指定的遊戲進程中。如果已經成功地插入，其便會利用鍵盤鉤子、記憶體截取或封包截取等技術盜取網路遊戲玩家的遊戲賬號、遊戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息，並在後台將竊取到的這些機密信息傳送到駭客指定的遠程伺服器站點“http://aiainue.zz*yuan..com/2/lin.asp”上（地址加密存放），致使網路遊戲玩家的遊戲賬號、裝備、物品、金錢等丟失，給遊戲玩家造成了不同程度的損失。“代理木馬”變種aylm運行完畢後會將自身刪除，以此達到了消除痕跡的目的。另外，其會通過在被感染計算機系統中註冊系統服務或者添加註冊表啟動項的方式實現木馬的開機自啟。

英文名稱：Worm/Runfer.el

中文名稱：“亂飛蟲”變種el

病毒長度：721920位元組

病毒類型：蠕蟲

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：2180b24af214e186715708df72f5914e

特徵描述：

Worm/Runfer.el“亂飛蟲”變種el是“亂飛蟲”蠕蟲家族中的最新成員之一，採用“Borland Delphi 6.0- 7.0”編寫，並且經過加殼保護處理。亂飛蟲”變種el運行後，會自我複製到被感染計算機系統的“C:\Program Files\CommonFiles\MicrosoftShared\MSInfo\”目錄和“%SystemRoot%\system32\”目錄下，重新命名為“KAV.exe”和“_KAV.exe”，並設定檔案屬性為“系統、隱藏”。創建“winchat.exe”和“iexplore.exe”進程，將惡意代碼完整地注入其中隱密運行，並且通過進程守護的方式防止被用戶輕易地結束。“亂飛蟲”變種el是一個功能強大的遠程控制服務端，運行後會連線駭客指定的遠程伺服器“zyp1*0.vicpnet”，讀取配置檔案“sx1.txt”，獲取控制端IP位址然後主動進行連線。一旦連線成功，則被感染計算機便會淪為駭客的傀儡主機。駭客可以向被感染計算機傳送任意惡意指令、執行任意操作，其中包括檔案管理、進程控制、註冊表操作、遠程命令執行、螢幕監控、鍵盤監聽、音視頻監控（包括對攝像頭的控制）等，給用戶的個人隱私甚至是商業機密造成了嚴重的侵害。駭客還可以向被感染主機傳送大量的惡意程式，從而給用戶造成更大程度的損失。同時，“亂飛蟲”變種el還會在被感染計算機系統中所有驅動器的根目錄下創建自動播放配置檔案“autorun.inf”和病毒主程式檔案“KAV.exe”，以此實現雙擊盤符後激活“亂飛蟲”變種el，從而達到利用移動硬碟、隨身碟等存儲設備進行自我傳播的目的，給被感染計算機用戶帶來更多的威脅。另外，“亂飛蟲”變種el會在被感染計算機中註冊名為“Windows_”的系統服務，以此實現開機自動運行。