11月30日病毒播报：菲卡锁定导航页面 增加恶意网址排名

江民今日提醒您注意：在今天的病毒中TrojanSpy.Filka.f"菲卡"变种f和Trojan/PugolBHO.ar"暗渡贼"变种ar值得关注。

英文名称：TrojanSpy.Filka.f
中文名称："菲卡"变种f
病毒长度：168448字节
病毒类型：间谍木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：510d51ca550286ee285032f0f9ef3e6f

特征描述：
TrojanSpy.Filka.f"菲卡"变种f是"菲卡"家族中的最新成员之一，采用"Microsoft Visual C++ 6.0"编写，经过加壳保护处理，是一个由其它恶意程序释放出来的DLL功能组件。"菲卡"变种f运行后，会在被感染系统的后台遍历当前正在运行的进
程，如果发现某些与安全或系统诊断相关的进程存在，就会自动退出，从而防止自身被发现。利用注册表映像文件劫持，干扰大量安全软件的正常启动运行，增加了被感染系统所面临的风险。"菲卡"变种f运行时，会在"%SystemRoot%system32"文件夹下生成配置文件"web.ini"，并根据该文件在被感染系统中以自动定时弹出或者点击链接时弹出等方式，打开程序指定的广告网页或广告条等（这些恶意广告网页中可能包含网页木马，会给存在漏洞的计算机系统带来一定程度的安全隐患），并且将IE首页锁定为某导航页面"http://www.hao1258*.com/XueHu"，从而通过提高这些恶意网站的访问量（网络排名
）的方式，给骇客带来了经济利益。另外，"菲卡"变种f还具有自动更新功能，其会通过自我更新来实现更换需要推广的网址以及躲避查杀等目的。

英文名称：Trojan/PugolBHO.ar
中文名称："暗渡贼"变种ar
病毒长度：65536字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：21df843efe0af2a4a7a335286bf2492b

特征描述：
Trojan/PugolBHO.ar"暗渡贼"变种ar是"暗渡贼"家族中的最新成员之一，采用"Microsoft Visual C++ 6.0"编写，是一个由其它恶意程序释放出来的DLL功能组件。"暗渡贼"变种ar会随IE浏览器一齐启动运行，并通过安装消息钩子的方式监视用户的网页浏览情况。当用户使用搜索功能的时候，可能会强制使用"http://www.baidu.com/baidu?word=%s&tn=kuainet_dg"进行搜索，以此谋取非法的经济利益。另外，其可能对用户浏览页面中的链接信息做出统计。"暗渡贼"变种ar会将自身注册成名为"IEHpr"的BHO（浏览器辅助对象），以此达到随浏览器自动运行的目的。

未经允许不得转载：DOIT » 11月30日病毒播报：菲卡锁定导航页面 增加恶意网址排名