在今天的病毒中“恶推客”变种dzy和“BHO劫持者”变种asx值得关注。

　　一、今日高危病毒简介及中毒现象描述：

　　Trojan/Pincav.dzy“恶推客”变种dzy是“恶推客”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“恶推客”变种dzy运行后，会将被感染系统“%SystemRoot%\system32\”文件夹下的“dsound.dll”重新命名为“dsound.dlldmWti”，之后在“%SystemRoot%\system32\”文件夹下释放恶意文件“dsound.dll.mod”，然后将其重新命名为“dsound.dll”，并分别复制到“%SystemRoot%\system32\”、“%SystemRoot%\system\”和“%SystemRoot%\system32\dllcache\”文件夹下。另外，其还会在“%SystemRoot%\system\”文件夹下释放恶意驱动程序“MvKOu.DRV”。释放完成后，原病毒程序会将自身删除，以此消除痕迹。“恶推客”变种dzy是一个专门盗取“剑侠3”游戏账号的木马程序，其会将恶意代码注入到桌面进程中隐秘运行。秘密监视用户打开的所有网页窗口，一旦发现用户打开指定的登录页面，便会通过安装键盘钩子、鼠标钩子等方式截取用户输入的会员账号、密码等信息，并在后台将窃得的信息发送到骇客指定的站点上(地址加密存放)，致使用户的账号丢失，从而造成不同程度的威胁。“恶推客”变种dzy还会通过自动访问指定的站点的方式，给骇客带来非法的经济利益。

　　Adware/BHO.asx“BHO劫持者”变种asx是“BHO劫持者”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“BHO劫持者”变种asx运行后，会在被感染系统的“\recycled\”文件夹下释放恶意程序“lip.dat”，之后会将“lip.dat”复制到“%SystemRoot%\system32\”文件夹下，重命名为“ndjnvj.dll”。“BHO劫持者”变种asx运行时，会定时弹出恶意广告网页，从而给用户造成不同程度的干扰。其还会从骇客指定的站点下载其它恶意程序并自动调用运行，致使用户面临着不同程度的威胁。“BHO劫持者”变种asx会在被感染计算机中注册名为“Iprip”的系统服务，以此实现广告程序的开机自启。