[病毒：分享]最新的病毒警报（转贴）

hfng

据瑞星全球反病毒监测网介绍，今日有两个病毒特别值得注意，它们是：“瑞波变种CZ（Backdoor.Rbot.cz）”和“埃斯垂变种C（Worm.Xgtray.c）”病毒。“瑞波变种CZ”是IRC后门程序，通过猜测IPC连接密码在局域网中传播。以特定昵称加入预定的IRC频道后，为攻击者提供远程控制服务。可对指定机器发动SYN攻击，造成其拒绝服务。“埃斯垂变种C”通过邮件传播，终止一些进程，使系统出现异常。

热门病毒：
   
    “瑞波变种CZ（Backdoor.Rbot.cz）”病毒：警惕程度★★★，后门程序，通过邮件和局域网传播，依赖系统：WIN9X/NT/2000/XP。

    运行后，病毒把自己复制到系统目录下，文件名为“winudate.exe”。在注册表启动项下添加键值“Microsoft Update Machine”，从而实现开机自启动。利用自带的词典猜测其它主机的IPC密码，如果成功则把自己复制过去，开始新一轮的感染过程。

    病毒会以特定昵称加入其指定的IRC频道，为其控制端提供远程控制服务，以达到攻击者非法控制本地计算机的目的。记录键盘输入，保存到系统目录的“keylog.txt”文件，通过这种方式可以窃取用户的各种密码，如Windows登陆密码、邮箱密码、网络游戏的帐号和密码、网络银行密码等等。中毒机器将对指定机器发动SYN 攻击，造成其拒绝服务。

    “埃斯垂变种C（Worm.Xgtray.c）”病毒：警惕程度★★★，蠕虫病毒，通过邮件传播，依赖系统：WIN9X/NT/2000/XP。

    VB编写的蠕虫病毒，通过邮件传播。病毒会在Outlook的地址簿里查找邮件地址，向其发送病毒邮件。邮件可能包含如下内容：“您要的资料”、“您要的资料在Document文件夹中，打开可以看到内容”，附件就是病毒。终止带有“注册表”、“配置”、“运行”、“优化”等字符的进程，可能造成系统运行异常。

    反病毒专家建议：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。

[ Last edited by 湖俊 on 2-8-2004 at 03:30 PM ]

hfng

“恶鹰变种AL（Worm.bbeagle.al）”病毒。“恶鹰变种AL”病毒是恶性蠕虫病毒“恶鹰”的最新变种，通过电子邮件和共享目录传播，传播和感染能力极强。病毒会试图终止多种反病毒软件的进程，给系统开设后门，从硬盘上搜索电子邮件地址，大量发送病毒邮件。

    本日热门病毒：

    “恶鹰变种AL（Worm.bbeagle.al）”病毒：警惕程度★★★★，蠕虫病毒，通过邮件和共享目录传播，依赖系统：WIN9X/NT/2000/XP。

    一旦运行，病毒会创建多个互斥量，防止自身的其它版本重复感染。修改注册表，使一些杀毒软件和病毒无法正常启动。遍历进程，终止多个杀毒软件的运行。试图把自己复制到带有字符串“shar”的目录下，这些目录一般是各种软件的共享目录，病毒借此传播自身。

    病毒会打开一个后门，监听TCP 1080端口。在硬盘上搜索二十多种格式的常用文件，从中提取电子邮件地址，向这些地址大量发送病毒邮件。大量发送的电子邮件会严重消耗网络资源，影响人们的正常工作。

hfng

“幽灵（I-Worm.Ghost）”和“斯卡思(Trojan.Win32.SocksProxy)”病毒。“幽灵”病毒会在C盘根目录下的所有文件夹里都释放一个病毒文件副本，文件名与所在文件夹名相同，打开文件夹即会先运行病毒。搜索Outlook的地址列表，向里面的电子邮件地址发送病毒邮件。“斯卡思”是木马病毒，将感染的机器设置成代理服务器，对预定网站进行攻击。一般是黑客侵入系统后留下的。

   
    “幽灵（I-Worm.Ghost）”病毒：警惕程度★★★☆，蠕虫病毒，通过邮件传播，依赖系统：WIN9X/NT/2000/XP。

    病毒第一次运行时，会把自己复制到Windows系统的字体目录下，文件名随机产生。当目录下的病毒得以运行时，会把自己复制到C盘根目录下，文件名为“Windows.exe”和“Ghost.bat”。

    在C盘根目录下的文件夹里释放一个自己的副本，文件名跟所在的文件夹名相同。复制自己的同时，生成病毒自己的“Desktop.ini”和“Folder.htt”文件，这两个文件可以使目录被用户打开时病毒得以运行，大量病毒的复制使系统运行速度变慢。遍历Outlook的邮件地址列表，向这些地址发送病毒邮件。

    “斯卡思(Trojan.Win32.SocksProxy)”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    运行后创建互斥量“socks4”，保证只有一个实例运行。修改注册表，使每次开机时病毒都能启动。将病毒感染的机器做成代理服务器，攻击预定的网站。该病毒一般不会主动传播，黑客攻陷服务器后会将之植入。

hfng

“艾尔卡变种X（I-Worm.Alcaul.x）”病毒：警惕程度★★★☆，蠕虫病毒，通过邮件传播，依赖系统：WIN9X/NT/2000/XP。

    通过邮件传播自己的蠕虫病毒，采用VB语言编写。运行后把自己复制多份，释放到不同的目录下，如“Windows”、“Windows\Favorites”和“Recycled”目录。其中会在“Windows”目录下释放一个名为“Wallpape.htm”网页文件，修改注册表，当系统启动时会先显示这个文件。

    遍历Outlook的邮件地址列表，向这些邮件地址发送携带病毒的邮件。邮件题目是“Dating, Talking And Kissing...”，邮件正文为“Here are some visual tips for you... It will surely make your partner happier and wilder... View the included file...”，附件就是病毒。

    “克林特变种B(Trojan.Win32.Savech.b)”病毒：警惕程度★★★，蠕虫病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    运行后将自己复制到系统目录下，文件名为“afxclient.exe”，修改注册表启动项，添加键值“AFXClient :afxclient.exe”，实现开机自启动。每隔一秒枚举所有窗体，将获取的本地信息通过邮件发送出去。

谢谢了啊

我会小心的

嘿嘿

hfng

如果大家有最新病毒的警报 请贴在这边

hfng

网吧传奇杀手（Trojan.PSW.LMir.qh）：警惕程度★★★☆，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。这是专门偷窃网络游戏“传奇”的帐号、密码和装备等信息的木马病毒，只要有一台机器中毒，则局域网中所有的游戏玩家的帐号和密码都可能被盗。

本周发作病毒：


    ①艾尔卡变种X（I-Worm.Alcaul.x）：警惕程度★★★☆，蠕虫病毒，通过邮件传播，依赖系统：WIN9X/NT/2000/XP。修改系统设置，替换掉系统原来的墙纸。搜索Outlook里的邮件地址列表，按这些地址向外发送大量病毒邮件。

    ②幽灵（I-Worm.Ghost）：警惕程度★★★☆，蠕虫病毒，通过邮件传播，依赖系统：WIN9X/NT/2000/XP。在C盘根目录下的所有文件夹里都释放一个病毒文件副本，打开文件夹即会先运行病毒。搜索Outlook里的邮件地址列表，按这些地址向外发送大量病毒邮件。

hfng

“传奇终结者变种QN（Trojan.PSW.LMir.qn）”和“弗力克（TrojanClicker.Win32.SynfClick）”病毒。“传奇终结者变种QN”是专门针对网络游戏“传奇”编写的木马病毒，可终止多种反病毒软件运行，频繁搜索“传奇客户端”，等用户登陆时，窃取信息发送到指定邮箱。“弗力克”是商业性木马病毒，主动连接指定的网站，来增加该网站的点击率。向随机IP地址发送UDP包，会耗费大量网络资源。


    “传奇终结者变种QN（Trojan.PSW.LMir.qn）”病毒：警惕程度★★★☆，蠕虫病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    运行后病毒把自己复制到系统目录下，文件名为“csrss.exe”，修改注册表实现开机自启动。可终止多种反病毒软件运行，如“江民杀毒软件”、“天网防火墙个人版”、“天网防火墙企业版”、“LockDown”、“PasswordGuard.exe”等等。病毒会频繁查找“传奇客户端”，当用户登陆游戏的时候，试图窃取其输入的帐户、密码、游戏装备等等信息，并发送到特定邮箱。

    “弗力克（TrojanClicker.Win32.SynfClick）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    用delphi语言编写的商业性木马病毒，调用IE浏览器连接预定的外部网站，给其增加点击率。病毒会获得本机IP地址，在此基础上变形，向随机生成的IP发送UDP包，占用大量网络资源。

    反病毒专家建议：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。

hfng

“海德克（I-Worm.Hardoc.a）”和“免费旅行（I-Worm.FreeTrip.a）”病毒。“海德克”会在硬盘上搜索网页文件，从中提取电子邮件地址，向搜索到的地址大量发送带毒邮件。该病毒会在每个月的17日和23日发作，发作时锁定用户的键盘和鼠标，使其不能正常使用电脑。“免费旅行”也会向Outlook里的联系人大量发送带毒邮件，从而严重消耗机器资源。当病毒运行后，会弹出对话框，提醒人们获取免费旅行机会，迷惑这些用户。


    “海德克（I-Worm.Hardoc.a）”病毒：警惕程度★★★☆，蠕虫病毒，通过邮件传播，依赖系统：WIN9X/NT/2000/XP。

    运行后病毒会创建一个互斥量“HardCodeMutex”，以防止病毒运行多份副本。病毒会把自己复制到系统目录下，文件名为“WINRE16.EXE”，修改注册表实现开机自启动。病毒显示一个迷惑人的对话框“Not Enought Memory（内存不足）”。

    通过搜索硬盘中的网页文件来获得邮件地址，用自带的邮件发送引擎向外发送带毒邮件。邮件标题是“Power Point”，正文是“：!!! Power Point !!!”，附件为“PowerPoint.scr”，反病毒专家提醒用户，当收到带有以上特征的可疑邮件时，一定要小心处理。

    该病毒会在每个月的17号或23号发作，发作时锁定键盘、鼠标，使用户无法正常使用电脑。

    “免费旅行（I-Worm.FreeTrip.a）”病毒：警惕程度★★★，蠕虫病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    运行后弹出对话框，使人误以为可以取得免费旅行的机会。用户点击“OK”按钮时，病毒会打开IE连接到“http://***www.hotmail.com”网站，以这种方式来迷惑用户。在系统中释放多份病毒体，搜索Outlook地址列表，向其发送病毒邮件。

    反病毒专家建议：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。

hfng

“IRC波特变种AO（Backdoor.IRCBot.ao）”和“波特后门变种PB（Backdoor.SdBot.pb）”病毒。“IRC波特变种AO”是一个利用IRC做为控制平台的后门程序，尝试以特定的昵称联接预定Irc服务器的特定频道，以方便控制者进行控制。病毒可偷窃游戏密码、键盘输入等，给用户带来很大安全风险。“波特后门变种PB”同样是利用IRC作为控制平台的后门程序，攻击者可以操纵被感染的机器发送SYN攻击，使被攻击机器崩溃，记录键盘输入，偷窃用户信息。

    “IRC波特变种AO（Backdoor.IRCBot.ao）”病毒：警惕程度★★★，后门程序，通过局域网传播，依赖系统：WIN9X/NT/2000/XP。

    运行后把自己复制到系统目录下，病毒文件名为“videons32.exe”，然后修改注册表实现开机自启动。病毒本身附带了IPC弱口令字典，可猜测共享密码，对局域网危害很大。该病毒是一个IRC后门，运行后连接特定IRC频道，等待控制方发来命令。

    病毒会记录键盘输入，用这种方式偷窃用户的各种密码信息。攻击者可以操纵被感染的机器，对指定机器发送SYN攻击，使其崩溃。病毒还会屏蔽多种国际主流杀毒软件的网址，使用户无法升级自己的杀毒软件。

    “波特后门变种PB（Backdoor.SdBot.pb）”病毒：警惕程度★★★，后门程序，通过局域网传播，依赖系统：WIN9X/NT/2000/XP。

    启动后，病毒把自己复制为系统下的“msgfix.exe”文件，在注册表的启动项添加键值，实现病毒随Windows启动。病毒会连接特定IRC频道，等待控制方发来命令。病毒本身附带一个简单的IPC弱口令字典，通过猜测IPC连接密码在局域网中传播，危害很大。记录键盘输入，用这种方式偷窃用户的各种密码信息。攻击者可以操纵被感染的机器，对指定机器发送SYN攻击，使其崩溃。

hfng

“SCO炸弹变种M（Worm.Novarg.m）”和“斯柏变种BO（Backdoor.Spybot.bo）”病毒。“SCO炸弹变种M”著名恶性病毒“SCO炸弹（也称Mydoom）”的最新变种，可通过电子邮件、后门、共享目录下载等多种方式传播，传播速度极快。病毒的大量感染可能会造成系统程序不明原因出现异常，网络运行缓慢等情况。“斯柏变种BO”是IRC后门程序，攻击者可以操纵被感染的机器发送SYN攻击，使被攻击机器崩溃，记录键盘输入，偷窃用户信息。

    “SCO炸弹变种M（Worm.Novarg.m）”病毒：警惕程度★★★☆，蠕虫病毒，通过邮件/共享目录/后门传播，依赖系统：WIN9X/NT/2000/XP。

    运行后把自己复制到系统目录下，病毒文件名为“Lsass.exe”，然后修改注册表实现开机自启动。病毒会遍历所有目录，复制自身到名字包含下列字符的目录下：“incoming”、“ftproot”、“download”、“shar”，这些目录往往提供文件下载，利于病毒传播。

    病毒将计算随机IP，尝试连接这些IP地址的3127端口。如果这个IP地址的主机中了“SCO炸弹”病毒，病毒将自己传送给目标主机，以进行传播感染。病毒会遍历磁盘文件，提取邮件地址后，向其发送携带病毒的邮件，病毒附件为ZIP格式。反病毒专家提醒用户，收到可疑邮件后请小心处理。

    “斯柏变种BO（Backdoor.Spybot.bo）”病毒：警惕程度★★★，后门程序，通过局域网传播，依赖系统：WIN9X/NT/2000/XP。

    启动后，病毒把自己复制为系统下的“WINUPDNT.EXE”文件，在注册表的启动项添加键值，实现开机自启动。病毒会连接特定IRC频道，等待控制方发来命令。病毒本身附带一个简单的IPC弱口令字典，通过猜测IPC连接密码在局域网中传播，危害很大。记录键盘输入，用这种方式偷窃用户的各种密码信息。攻击者可以操纵被感染的机器，对指定机器发送SYN攻击，使其崩溃。

hfng

【快讯】7月27日，瑞星全球反病毒监测网在国内率先截获一个“SCO炸弹”（Mydoom/Novarg）病毒的新变种，并命名为“SCO炸弹变种N（Worm.Novarg.N）”。根据瑞星反病毒负责人蔡骏介绍，这是近4天之内截获的“SCO炸弹”病毒的第二个新变种，借助新的传播方式，该病毒可能在国内再次造成大范围的电脑被感染。

    在上周五出现的“SCO炸弹变种M”里，编写者尝试了共享目录、后门和电子邮件三种方式混合传播，传播速度很快。但是病毒编写者好象不满意变种M的传播速度，周一下午开始，传播速度更快的“SCO炸弹变种N”出现了，在最先出现的几个小时里，感染数量就跟年初的“SCO炸弹病毒”持平，据国外媒体报道，欧美地区遭此病毒感染的PC可能有数万台。

    据蔡骏介绍，此病毒最厉害之处在于利用了Google、Yahoo、lycos和altavista四个著名搜索引擎查找受侵害对象。病毒会先在被感染机器上查找电子邮件地址，然后利用搜索引擎查找跟被感染机器上的电子邮件地址相类似的地址，向其发送病毒邮件。“比如，在中毒机器上找到以@ggggg.com为后缀的地址，那病毒就会去搜索引擎找相同后缀的，这些后缀往往属于同一个公司或机构，接到病毒邮件的人就误以为是同事发来的正常邮件，从而受骗感染病毒。”蔡骏解释说。

    利用Google等搜索引擎查找用户，利用熟悉的邮箱地址来欺骗电脑用户，病毒编写者精心设计的圈套目前看来已经得逞。同时，由于接受到大量的病毒发来的搜索请求，包括Google在内的四个搜索引擎已经变得速度很慢。

    据瑞星技术部门分析，病毒邮件的标题可能为“readme”、“letter”、“mail”、“text”等，附件可能为“bat”、“cmd”、“com”、“exe”、“scr”、“pif”、“zip”格式。反病毒专家提醒用户，当收到可疑邮件时，请一定要把杀毒软件升级到最新版本，并打开邮件监控功能，以免遭受病毒感染。

hfng

“红锌矿（Backdoor.Zincite.A）”和“则恩斯（Worm.Zindos）”病毒。“红锌矿”是由“SCO炸弹变种N”病毒释放的后门程序，给系统开设后门，方便攻击者对其进行利用。“则恩斯”会利用“红锌矿”开设的后门传播感染，对微软网站实施拒绝服务攻击。被病毒感染的系统还会变得运行缓慢，严重时甚至停止响应。

    “红锌矿（Backdoor.Zincite.A）”病毒：警惕程度★★★☆，后门程序，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    “SCO炸弹变种N”释放的后门程序，给被感染系统开设后门。运行后把自己复制到系统目录下，文件名为“services.exe”，修改注册表实现开机自启动。监听端口1034当作后门，等待远程连接。

    “则恩斯（Worm.Zindos）”病毒：警惕程度★★★☆，蠕虫病毒，通过后门传播，依赖系统：WIN9X/NT/2000/XP。

    利用“红锌矿”开设的后门传播，在网上探测1034端口，如果已被“红锌矿”感染，则把自己复制过去。建立一个临时目录，病毒为随机文件名的可执行文件。感染运行后对microsoft.com发动DoS（拒绝服务）攻击。并且，感染了此病毒的系统会变得运行异常缓慢，严重时甚至停止响应。

hfng

“麻布图（Worm.Mabutu）”病毒。“麻布图”蠕虫病毒采用了多种方式收集电子邮件地址，然后向收集到的电子邮件地址大量发送病毒邮件，严重时可造成网络堵塞。通过一种比较新颖的方式收集电子邮件，“麻布图”可以收集到被感染用户的MSN Messenger好友的邮件地址。当前系统时间为7月时，连接特定IRC频道，通知病毒散布者，此系统已被感染。

本日热门病毒：

    “麻布图（Worm.Mabutu）”病毒：警惕程度★★★☆，蠕虫病毒，通过邮件/P2P软件传播，依赖系统：WIN9X/NT/2000/XP。

    运行后，将自己复制到%WINDOWS%目录下，文件名随机产生。修改注册表启动项，实现开机自启动。伪装成屏幕保护程序复制到Kazaa软件的共享目录下，引诱别人下载，以达到传播自己的目的。

    当系统时间为7月时，病毒将尝试连接预定的mirc服务器特定频道，通知病毒散布者，该系统已被感染病毒。搜索MSN Messenger进程窗口，模拟用户的一些操作消息，从而获取MSN Messenge的联系人名单，收集电子邮件地址。

    病毒还会从硬盘文件和Wab文件里提取电子邮件地址，利用自带的邮件发送引擎向其发送病毒邮件，附件为exe、zip、scr格式。大量散发的病毒邮件会给人们的正常工作造成困扰。

hfng

“传奇终结者变种RQ（Trojan.PSW.LMir.rq）”和“杜姆达变种B(Backdoor.Dumador.b)”病毒。“传奇终结者变种RQ”会终止多种反病毒软件运行，频繁搜索“传奇客户端”，等用户登陆时，窃取网络游戏“传奇”的相关信息发送到指定邮箱。“杜姆达变种B”会记录用户的键盘操作，并搜索特定的窗口标题，试图窃取用户的帐号和密码。

    “传奇终结者变种RQ（Trojan.PSW.LMir.rq）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    运行后病毒将自己复制到系统目录下，文件名为“Svchosts.exe”。修改注册表启动项，实现开机自启动。释放“WinSoft3.DLL”文件，通过远程线程的方式注入到系统Explorer.exe中，加大反病毒软件的清除难度。

    病毒试图终止多种反病毒软件的运行，频繁搜索“传奇客户端”，试图在用户登陆游戏的时候，取得用户输入的账号、密码武器装备等等发送到到指定邮箱。专家建议，当用杀毒软件杀毒完毕之后，一定要重启机器，这样才能此病毒干净彻底的清除。

    “杜姆达变种B(Backdoor.Dumador.b)”病毒：警惕程度★★★，后门程序，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    运行后，在系统目录下释放两个病毒文件，文件名分别为“swchost.exe”和“svohost.exe”。破坏hosts文件，屏蔽多个国外著名杀毒软件的网址，阻止用户通过网络升级杀毒软件。搜索特定的窗口标题，截取屏幕图像发送出去，病毒还会以记录键盘操作的方式取得用户的各种输入信息。

萝卜

“麻布图（Worm.Mabutu）”病毒。“麻布图”蠕虫病毒采用了多种方式收集电子邮件地址，然后向收集到的电子邮件地址大量发送病毒邮件，严重时可造成网络堵塞。通过一种比较新颖的方式收集电子邮件，“麻布图”可以收集到被感染用户的MSN Messenger好友的邮件地址。当前系统时间为7月时，连接特定IRC频道，通知病毒散布者，此系统已被感染。

本日热门病毒：

    “麻布图（Worm.Mabutu）”病毒：警惕程度★★★☆，蠕虫病毒，通过邮件/P2P软件传播，依赖系统：WIN9X/NT/2000/XP。

    运行后，将自己复制到%WINDOWS%目录下，文件名随机产生。修改注册表启动项，实现开机自启动。伪装成屏幕保护程序复制到Kazaa软件的共享目录下，引诱别人下载，以达到传播自己的目的。

    当系统时间为7月时，病毒将尝试连接预定的mirc服务器特定频道，通知病毒散布者，该系统已被感染病毒。搜索MSN Messenger进程窗口，模拟用户的一些操作消息，从而获取MSN Messenge的联系人名单，收集电子邮件地址。

    病毒还会从硬盘文件和Wab文件里提取电子邮件地址，利用自带的邮件发送引擎向其发送病毒邮件，附件为exe、zip、scr格式。大量散发的病毒邮件会给人们的正常工作造成困扰


我中了这个，但我的防毒软件不能完全将他清除，要怎么办？
有谁能帮忙吗？？

hfng

冲浪者（Backdoor.Webber）和波特后门变种GD (Backdoor.SdBot.gd)病毒。“冲浪者”是一个可以通过网页来控制的后门病毒，病毒散布者可以通过设计好的网页控制本地中毒机器，进行多种危险操作。“波特后门变种GD”是集蠕虫与后门于一体的病毒，可以窃取本地游戏密码，结束某些反病毒和防火墙进程，危害较大。

    “冲浪者（Backdoor.Webber）”病毒：警惕程度★★★，后门程序，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    一个可以通过网页来控制的后门病毒，病毒监听TCP端口80，通过远程设计好的网页可以控制本地中毒的机器，主要危害行为包括： 获取当前系统的进程信息、强制关闭计算机、查看屏幕、重启计算机、修改分辨率、注销当前用户等。

    “波特后门变种GD (Backdoor.SdBot.gd)”病毒：警惕程度★★★，后门程序，通过局域网传播，依赖系统：WIN9X/NT/2000/XP。

    病毒会通过好几种方式连接客户控制端，如连接特定IRC服务器特定频道，连接特定web服务器主机，发送邮件等。病毒试图窃取本地游戏密码，结束某些反病毒和防火墙进程。病毒会通过猜测弱口令在局域网传播，内部附带了庞大的密码字典，几乎覆盖了所有的英语单词，传播速度快，危害较大。

hfng

“QQ叛徒变种F（Trojan.QQBot.f）”和“波特后门变种FW (Backdoor.SdBot.fw)”病毒。“QQ叛徒变种F”是一个可以通过QQ来实现远程控制的木马病毒，恶意攻击者可以向被感染QQ用户发送特殊字符，控制其电脑，可进行重启、添加用户、下载文件等等危险动作。“波特后门变种FW”是冒充IE浏览器欺骗用户的后门程序，采用IE图标，欺骗性很强，开设后门等待远程攻击者的连接和控制。

    “QQ叛徒变种F（Trojan.QQBot.f）”病毒：警惕程度★★★☆，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    运行后在系统目录下释放三个病毒体，修改注册表和系统文件实现开机自启动。病毒感染后，会禁用注册表编辑器，给用户制造麻烦，保护自身。频繁搜索窗口，监视QQ聊天程序的“聊天记录”，看是否包含攻击者发送的命令。如果发现，则进行相应的操作。

    攻击者发送的命令里包含“kker@”字符，通过发送特定的字符，攻击者可以对当前系统抓屏、强制重启机器、强制用户QQ退出登陆等等。如果系统出现上述异常，就可能是被此病毒感染，建议把杀毒软件升级到最新版本，对系统进行全面扫描。

    “波特后门变种FW (Backdoor.SdBot.fw)”病毒：警惕程度★★★，后门程序，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    运行后，病毒会把自己复制到“windows”目录下，文件名为“IExplorer.exe”，采用IE浏览器的图标，将自己注册为服务，开机就启动，很容易迷惑用户。运行后连接特定IRC服务器和特定频道，通知客户控制端，监听TCP端口113，等待控制端的连接和控制。

hfng

“泼瑞斯变种D（Win32.Porex.d）”和“键盘小偷(Backdoor.VB.gd)”病毒。“泼瑞斯变种D”是系统病毒，可提升自己的进程优先级，使病毒很难被清除。会发送大量病毒邮件传播自己，消耗网络资源。“键盘小偷”会记录用户的键盘操作，可能造成用户的私人信息失窃。

    “泼瑞斯变种D（Win32.Porex.d）”病毒：警惕程度★★★，系统病毒，通过邮件传播，依赖系统：WIN9X/NT/2000/XP。

    运行后将自己复制到“windows”目录，病毒文件名为“poserv.exe”。如果当前操作系统为Windows 98，则修改注册表实现开机自启动；如果是Windows 2000/XP系统，则将自己注册为开机启动运行的服务，并提升进程的优先级，增加杀毒软件清除的清除难度。
结束多种反病毒软件的进程，发送病毒邮件传播自己。大量发送的病毒邮件会严重消耗网络资源，可能造成网络堵塞。

    “键盘小偷(Backdoor.VB.gd)”病毒：警惕程度★★★，后门程序，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    病毒启动后，将自己安装到系统目录下，在后台隐藏运行。修改注册表启动项，在其下添加键值，实现开机自启动。此病毒会偷偷记录用户的键盘操作，试图窃取用户的各种帐号和密码，如游戏登陆密码、邮箱密码、网络银行密码等等。

hfng

“波特后门变种RH（Backdoor.SdBot.rh）”和“特塔(Win32.Teta.8192)”病毒。“波特后门变种RH”是兼有蠕虫和后门两种功能的病毒，可通过局域网弱口令传播，盗取本地用户的信息，对指定机器发动SYN攻击，还可以结束多种反病毒软件的进程，危害较大。“特塔”会把机器上所有的EXE文件都复制一份，产生大量垃圾文件，占据硬盘空间。

    “波特后门变种RH（Backdoor.SdBot.rh）”病毒：警惕程度★★★☆，系统病毒，通过局域网传播，依赖系统：WIN9X/NT/2000/XP。

    运行后，病毒把自己复制到系统目录下，文件名为“svhost.exe”。在注册表启动项下添加键值“Microsoft Synchronization Manager”，从而实现开机自启动。利用自带的词典猜测其它主机的IPC密码，如果成功则把自己复制过去，开始新一轮的感染过程。

    病毒会以特定昵称加入其指定的IRC频道，为其控制端提供远程控制服务，以达到攻击者非法控制本地计算机的目的。记录键盘输入，保存到系统目录的“keylog.txt”文件，通过这种方式可以窃取用户的各种密码，如Windows登陆密码、邮箱密码、网络游戏密码、网络银行密码等等。中毒机器将对指定机器发动SYN 攻击，造成其拒绝服务。

    “特塔(Win32.Teta.8192)”病毒：警惕程度★★★，系统病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

    病毒会在中毒机器上搜索EXE文件，然后把所有的EXE文件都复制一份，然后把复制的文件后缀改为SYS。这样就在系统中造成了很多没用的垃圾文件，但是由于SYS文件的特殊性，一般用户很难辨认真正的SYS文件和由病毒制造的SYS文件之间的区别，因此占据大量的硬盘空间。