特征描述：
VBS/Fineboy.a"惡小子"變種a采用"Visual Basic Script"腳本語(yǔ)言編寫(xiě)，并且進(jìn)行了加密處理。"惡小子"變種a運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)每個(gè)分區(qū)的根目錄下，并根據(jù)該分區(qū)的序列號(hào)重新命名。隱藏該分區(qū)根目錄下的文件夾，同時(shí)生成對(duì)應(yīng)的快捷方式，以此實(shí)現(xiàn)在打開(kāi)文件夾的同時(shí)激活惡意腳本。還會(huì)生成"autorun.inf"文件，從而利用系統(tǒng)自動(dòng)播放功能進(jìn)行自啟。"惡小子"變種a會(huì)大量修改系統(tǒng)注冊(cè)表，致使"顯示系統(tǒng)隱藏文件及文件夾"功能失效。篡改"txt"、"inf"、"bat"、"chm"等等擴(kuò)展名的文件關(guān)聯(lián)，當(dāng)用戶打開(kāi)這些文件的時(shí)候，會(huì)首先運(yùn)行惡意腳本。同時(shí)其還修改了"IE"、"我的電腦"等的打開(kāi)方式。"惡小子"變種a會(huì)不斷監(jiān)視系統(tǒng)中的進(jìn)程，并且會(huì)試圖關(guān)閉一些指定的安全軟件以實(shí)現(xiàn)自我保護(hù)。定時(shí)檢測(cè)系統(tǒng)中自身的運(yùn)行數(shù)量，如果小于指定數(shù)量便會(huì)試圖通過(guò)"svchost.exe"運(yùn)行自我，以此實(shí)現(xiàn)了自我保護(hù)，防止被輕易地查殺。"惡小子"變種a會(huì)在月份數(shù)字與日期數(shù)字相同時(shí)反復(fù)彈出光驅(qū)以及生成并打開(kāi)網(wǎng)頁(yè)文件"BFAlert.hta"。另外，如果用戶計(jì)算機(jī)的系統(tǒng)分區(qū)類型為"NTFS"，"惡小子"變種a則可以利用一些系統(tǒng)特性實(shí)現(xiàn)開(kāi)機(jī)自啟。

英文名稱：Trojan/Qhost.baq
中文名稱："Hosts劫持者"變種baq
病毒長(zhǎng)度：24377字節(jié)
病毒類型：木馬
危險(xiǎn)級(jí)別：★★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：40e818a16a178535fbe9bbcf5e469a60

特征描述：
Trojan/Qhost.baq"Hosts劫持者"變種baq是"Hosts劫持者"家族中的最新成員之一。"Hosts劫持者"變種baq運(yùn)行后，會(huì)將惡意代碼注入到系統(tǒng)進(jìn)程"winlogon.exe"中隱秘運(yùn)行。從指定的頁(yè)面"http://colopi*.cn/op/lgate.php?n="獲取加密的配置信息，并根據(jù)其中的設(shè)置下載"http://kom*joke.cn/ag/lo.txt"、"http://colopi*.cn/oc/box.txt"等惡意程序到"%SystemRoot%Temp"文件夾下并調(diào)用運(yùn)行，從而給用戶造成更大的損失。

kuangmin