巴斯基每周病毒報告

巴斯基每周病毒報告（0419-0425）：http://www.69kk.com/
卡巴斯基中國地區每周病毒報告2010年04月19日至2010年04月25日
關注惡意軟件：http://film.69kk.com/

名稱：“誘惑視頻”的下載器木馬（Trojan-Dropper.Win32.Flystud.abo）

大小：35.4 MB

是否加殼：否

影響的平台：WIN9X/ME/NT/2000/XP/2003/Vista/Win7
具體表現：

創建文件： %ProgramFiles%\WinRAR\run.exe %ProgramFiles%\WinRAR\svchost.exe %ProgramFiles%\WinRAR\iADConfig.ini %SystemRoot%\iAD.ini %SystemRoot%\iADGame.log

添加BHO修改註冊表： IAD_BHO.dll SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelper Objects\

該木馬采用易語言編寫，文件名為“(下)五星級酒店的小姐真讓人回味.avi.exe”。程序運行後，首先釋放並運行avi視頻文件，然後在後台運行惡意程序。並且會在開始菜單創建啟動項： C:\Program Files\WinRAR\svchost.exe，實現隨機啟動。並從以下網址下載惡意程序： http://downxxx.jiajiaee.cn/iepop/list/NewGameUrl_home.xml http://downxxx.jiajiaee.cn/iepop/list/NewgameFileMd5_home.txt http://downxxx.jiajiaee. cn/iepop/update/Update_home.dat http://downxxx.jiajiaee.cn/iepop/update/Update.dat http://downxxx.jiajiaee.cn/iepop/update/Update.tmp http://getxx.jiajiaee .cn/iepop/members/RequestAd.aspx http://putxx.jiajiaee.cn/iepop/members/PassDataFert.aspx 該
http://film.20tt.com/


惡意程序釋放的run.exe被卡巴斯基檢測為Trojan.Win32.FlyStudio.vk，svchost.exe被卡巴斯基檢測為Trojan.Win32.PopUpper.bh。此外該惡意程序還會獲取用戶信息並發送至黑客。