特征描述：
TrojanSpy.Filka.p"菲卡"變種p是"菲卡"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫，經(jīng)過加殼保護(hù)處理。"菲卡"變種p運(yùn)行后，會(huì)在被感染系統(tǒng)的"%SystemRoot%system32"文件夾下釋放惡意DLL文件"try*.dll"和"kkkyfile.dll"。遍歷當(dāng)前系統(tǒng)中所有正在運(yùn)行的進(jìn)程，如果發(fā)現(xiàn)某些與安全或系統(tǒng)診斷相關(guān)的進(jìn)程存在，就會(huì)自動(dòng)退出，從而避免被檢測(cè)到。其還會(huì)利用映像文件劫持功能干擾安全軟件的正常運(yùn)行，降低了被感染系統(tǒng)的安全性。"菲卡"變種p運(yùn)行時(shí)，會(huì)在"%SystemRoot%system32"文件夾下生成配置文件"web.ini"，并根據(jù)其中的設(shè)置在被感染系統(tǒng)中以自動(dòng)定時(shí)彈出或者點(diǎn)擊鏈接時(shí)彈出等方式，打開程序指定的廣告網(wǎng)頁或廣告條等（這些惡意廣告網(wǎng)頁中可能包含網(wǎng)頁木馬，會(huì)給存在漏洞的計(jì)算機(jī)系統(tǒng)造成不同程度的安全隱患）。同時(shí)，其還會(huì)將IE首頁鎖定為一個(gè)指定的導(dǎo)航頁面"http://www.hao1258*.com/XueHu"。通過提高這些惡意網(wǎng)站的訪問量（網(wǎng)絡(luò)排名），駭客謀取到了非法的利益。"菲卡"變種p還具有自動(dòng)更新功能，其會(huì)連接駭客指定的遠(yuǎn)程服務(wù)器"http://www.f*edit.cn/"下載更新文件，以此實(shí)現(xiàn)更換需要推廣的網(wǎng)址和躲避查殺等。另外，"菲卡"變種p釋放的DLL文件會(huì)將自身注冊(cè)為BHO（瀏覽器輔助對(duì)象），以此實(shí)現(xiàn)其隨IE瀏覽器的啟動(dòng)而加載運(yùn)行。

英文名稱：Trojan/Vilsel.bbv
中文名稱："危鬼"變種bbv
病毒長度：12767字節(jié)
病毒類型：木馬
危險(xiǎn)級(jí)別：★★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：00cd42157d140dd68e9aa1b0bd074eda

特征描述：
Trojan/Vilsel.bbv"危鬼"變種bbv是"危鬼"家族中的最新成員之一，經(jīng)過加殼保護(hù)處理。"危鬼"變種bbv運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"kb*.dll"。同時(shí)會(huì)生成文件"wsconfig.db"保存該DLL文件名。在"%SystemRoot%system32drivers"文件夾下釋放記錄收信地址的配置文件"kipikwcd.dat"，另外還會(huì)篡改系統(tǒng)文件"imm32.dll"，從而通過對(duì)被感染的"imm32.dll"的調(diào)用實(shí)現(xiàn)自動(dòng)運(yùn)行。安裝完成后，原病毒會(huì)將自我刪除，以此消除痕跡。"危鬼"變種bbv是一個(gè)專門盜取"問道"和"完美國際"等網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，其會(huì)插入游戲進(jìn)程"asktao.mod"和"elementclient.exe"中，并通過一些內(nèi)存操作截獲游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)等信息，并在后臺(tái)將竊得的信息發(fā)送到駭客指定的收信頁面"http://202.yx2009123*.cn:55414/202/xj283x@c!d$h/!$f7i@.asp"等上，甚至還會(huì)通過屏幕截圖的方式獲取用戶輸入的密碼等信息，致使網(wǎng)絡(luò)游戲玩家的虛擬財(cái)產(chǎn)遭到不同程度的侵害。

kuangmin