「砸波」瘋狂感染進程　避免被提取樣本

【賽迪網-IT技術報道】在今天(2008年4月7日)的病毒中TrojanSpy.Zbot.d「砸波」變種d和Trojan/Small.ehf「小不點」變種ehf值得關注。

病毒名稱：TrojanSpy.Zbot.d

中 文 名：「砸波」變種d

病毒長度：47104字節

病毒類型：間諜類木馬

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

TrojanSpy.Zbot.d「砸波」變種d是「砸波」木馬家族的最新成員之一，採用高級語言編寫， 並經過加殼處理。「砸波」變種d運行後，在「%SystemRoot%/system32/」目錄下創建病毒體「ntos.exe」。修改註冊表，實現木馬開機自動運行。自我注入到所有進程中（除CSRSS.EXE外）並調用運行，保護病毒體不被複製、刪除。破壞數款防火牆程序，竊取被感染計算機上用戶的私密信息並發送給駭客，大大降低了被感染計算機上的安全性。另外，「砸波」變種d可能會破壞被感染計算機系統內的某些應用程序、資料庫、壓縮文件、圖片、文檔等，給用戶帶來極大的損失。

病毒名稱：Trojan/Small.ehf

中 文 名：「小不點」變種ehf

病毒長度：23040字節

病毒類型：木馬

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Small.ehf「小不點」變種ehf是「小不點」木馬家族的最新成員之一，採用VC++編寫，經過添加保護殼處理。「小不點」變種ehf運行後，自我複製到「%SystemRoot%/system32/」目錄下並重新命名為「BoboTurbo.exe」（屬性為「系統隱藏」）。修改註冊表，實現木馬開機自動運行。在被感染計算機系統後台秘密監視用戶打開的窗口和正在運行的進程，一旦發現與安全相關的軟體，強行將其關閉，從而大大降低被感染計算機上的安全性。修改註冊表進行映像劫持，致使用戶在運行正常程序之前先運行病毒體。破壞註冊表，致使被感染的計算機無法顯示隱藏文件。

(