近日，江民反病毒中心截獲了“視頻寶寶”變種aaje。

　　據(jù)江民反病毒專家介紹，TrojanDropper.VB.aaje“視頻寶寶”變種aaje是“視頻寶寶”家族中的最新成員之一，采用“Microsoft Visual Basic 5.0 / 6.0”編寫。“視頻寶寶”變種aaje運行后，在被感染系統(tǒng)的“%programfiles%common files”文件夾下釋放惡意圖標(biāo)文件“t.ico”、“d.ico”。文件屬性設(shè)置為“系統(tǒng)、隱藏”。在被感染系統(tǒng)的用戶桌面釋放惡意快捷方式“internet explorer.hdh”、“在線小游戲.hyx”、“看電影.hpf”、“網(wǎng)上購物.htb”、“上網(wǎng)導(dǎo)航.h35”、“圖片新聞.hli”，同時將這些文件對應(yīng)復(fù)制到文件夾“Documents and SettingsAll Users“開始”菜單”下。設(shè)置這些圖標(biāo)的權(quán)限，使用戶不能夠刪除。在注冊表中創(chuàng)建“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等類型文件的關(guān)聯(lián)信息，修改默認(rèn)圖標(biāo)分別為IEXPLORE.EXE、SHELL32.dll、SHELL32.dll、t.ico、d.ico、SHELL32.dll，修改對應(yīng)的打開命令的鍵值，從而達(dá)到用戶雙擊運行對應(yīng)類型的文件時會通過IE訪問“http://www.he**uo.com/?1121 ”、“http://www.d**d.com/?1121”、“http://www.pi**ng.net/?1121”、“http://taobao.lo**o.com/?1121”、“http://www.35**.com/?1121”、“http://www.lo**o.com/?1121”的目的。還會在當(dāng)前目錄下釋放惡意程序“網(wǎng)聚.exe”和“jies.bak.vbs”。

　　據(jù)悉“視頻寶寶”變種aaje運行時，還會在用戶的計算機(jī)系統(tǒng)中安裝被稱為“風(fēng)影影視”的軟件，這是一款網(wǎng)絡(luò)電視程序。當(dāng)運行惡意程序“網(wǎng)聚.exe”時，其會提供若干人體藝術(shù)網(wǎng)站瀏覽入口。還具有進(jìn)程守護(hù)功能，當(dāng)發(fā)現(xiàn)主程序被調(diào)試的時候，會強(qiáng)行結(jié)束運行。“視頻寶寶”變種aaje在運行完成后會創(chuàng)建批處理文件并在后臺調(diào)用執(zhí)行，以此將自身刪除。

    （編輯：Jesse）