在今天的病毒里，需要谨慎防范“VBS傀儡”变种yy和“通犯”变种zi。

英文名称：Trojan/VBS.yy

中文名称：“VBS傀儡”变种yy

病毒长度：43012字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：04923f415ab2998faf737093915816e2

特征描述：

Trojan/VBS.yy“VBS傀儡”变种yy是“VBS傀儡”家族中的最新成员之一，采用“VBS”脚本语言编写。“VBS傀儡”变种yy运行后，会篡改IE浏览器的首页为骇客指定站点“www.h*l23.cc”，以此为其增加访问量。在当前系统用户的桌面上查找“Internet Explorer.lnk”、“360安全浏览器.lnk”、“傲游浏览器2.lnk”、“搜狗高速浏览器.lnk”，如果找到会将其删除。遍历“%USERPROFILE%\桌面\”、“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“%USERPROFILE%\「开始」菜单\程序\”、“%USERPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\程序\”、“%ALLUSERSPROFILE%\桌面\”，查找是否存在指定的浏览器。之后会在“%ALLUSERSPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\程序\”、“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“%USERPROFILE%\「开始」菜单\”文件夹下创建假冒IE快捷方式“Internet Explorer.ttf”以及“淘宝网购物.dib”、“淘宝打折.dib”、“淘宝热卖.dib”、“网址大全.wiz”、“傲游浏览器2.Max”、“360安全浏览器.se”、“Mozilla Firefox.fox”、“搜狗高速浏览器.sou”等假冒的快捷方式。通过这些快捷方式启动的浏览器会自动访问“hxxp://www.59*88.com/?my”、“hxxp://www.9*8.la”等站点，从而给骇客带来了非法的经济利益。另外，“VBS傀儡”变种yy会隐藏这些快捷方式的扩展名，以此增强迷惑性。其还会通过设置访问权限的方式阻止系统用户删除这些快捷方式。

英文名称：TrojanDownloader.Generic.zi

中文名称：“通犯”变种zi

病毒长度：16384字节

病毒类型：木马下载器

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验：9b6f64e7e8bd1ed4bb90fb7e614b08f5

特征描述：

TrojanDownloader.Generic.zi“通犯”变种zi是“通犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“通犯”变种zi运行后，会自我复制到被感染系统的“%programfiles%\Windows Media Player\”文件夹下，重新命名为“Media.exe”。“通犯”变种zi运行后，会将释放的恶意文件插入到系统桌面程序“explorer.exe”进程中加载运行，同时在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。“通犯”变种zi运行时，会在被感染系统的后台连接骇客指定的远程站点“hxxp://www.ge*lete.cn:89/”，下载配置文件“so.txt”至“%programfiles%\Internet Explorer\”文件夹下，重新命名为“Temp.txt”，然后会根据其中的设置下载恶意程序“ma0.exe”、“ma4.exe”等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“通犯”变种zi会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。