特征描述：
Worm/Abuse.n"歪風(fēng)"變種n是"歪風(fēng)"家族中的最新成員之一，采用Borland Delphi 6.0 – 7.0"編寫。"歪風(fēng)"變種n運行后，會自我復(fù)制到被感染系統(tǒng)的"%ProgramFiles%Common Files"目錄下，重新命名為"SysLive.exe"，文件屬性設(shè)置為"系統(tǒng)、隱藏"。在"%SystemRoot%fonts"目錄下釋放惡意DLL組件"*.fon"（隨機5個字母的文件名），在"%SystemRoot%fonts"和"%USERPROFILE%Local Settings"目錄下分別釋放惡意驅(qū)動程序"*.fon"（隨機5個字母的文件名）和"Temp~*.tmp"。"歪風(fēng)"變種n會在被感染計算機重新啟動時，將"%SystemRoot%system32dllcache"和"%SystemRoot%"目錄下的"explorer.exe"替換，以此實現(xiàn)隱秘的自啟。在安裝完成后，"歪風(fēng)"變種n會將自我刪除，以此消除痕跡。"歪風(fēng)"變種n運行時，會創(chuàng)建新的"svchost.exe"和"iexplorer.exe"進程，并將惡意代碼注入其中隱秘運行，減少了被發(fā)現(xiàn)的幾率。利用其釋放的惡意驅(qū)動程序關(guān)閉指定安全軟件的自保護功能，同時終止其進程。強行篡改注冊表，致使一些安全軟件不能隨系統(tǒng)自動運行。關(guān)閉帶有指定名稱的窗口，同時，利用注冊表的文件映像劫持功能，干擾大量安全軟件的啟動運行。還會通過篡改hosts文件的方式屏蔽用戶對一些站點的訪問，從而達到了自我保護的目的。在被感染系統(tǒng)的后臺連接駭客指定的站點"http://ww.m*wyt.com/"，獲取惡意程序下載列表"md.txt"，然后下載指定的惡意程序并自動調(diào)用運行，從而給用戶造成更大的風(fēng)險。連接指定的URL"http://tj.97aiww*.cn/s/Count.asp"和"http://down.92rm*.com/shell.asp"，反饋被感染系統(tǒng)的信息。"歪風(fēng)"變種n還會在被感染計算機的系統(tǒng)盤根目錄下創(chuàng)建"autorun.inf"（自動播放配置文件）和蠕蟲主程序文件副本，文件屬性設(shè)置為"系統(tǒng)、隱藏"，以此實現(xiàn)雙擊盤符后激活蠕蟲的目的，從而給計算機用戶造成更多的威脅。另外，"歪風(fēng)"變種n會在被感染系統(tǒng)注冊表啟動項中添加新鍵，以此實現(xiàn)開機后的自動運行。

英文名稱：Trojan/Mepaow.hk
中文名稱："冒牌貨"變種hk
病毒長度：200704字節(jié)
病毒類型：木馬
危險級別：★
影響平臺：Win 9X/ME/NT/2000/XP/2003
MD5 校驗：cf836914c9bb6c3bd1f11eae458dc898

特征描述：
Trojan/Mepaow.hk"冒牌貨"變種hk是"冒牌貨"家族中的最新成員之一，采用"Microsoft Visual Basic 5.0 / 6.0"編寫。"冒牌貨"變種hk運行后，會自我復(fù)制到被感染計算機系統(tǒng)的"C:Windows"文件夾下，重新命名為"serivices.exe"或"services1.exe"。連接網(wǎng)頁"http://hi.baidu.com/wangchun1123/blog/item/3fc47b5675173c52d0090629.html"，對該博客文章中設(shè)定的配置信息進行解析，然后連接指定的網(wǎng)站執(zhí)行預(yù)設(shè)的點擊操作，以此達到賺取廣告費、推廣網(wǎng)站或增加網(wǎng)站流量等目的。"冒牌貨"變種hk會通過在被感染系統(tǒng)注冊表啟動項中添加鍵值"win32_twunk"的方式實現(xiàn)開機自動運行。

kuangmin