反馈意见 咨询电话 021-5915-8580
- 3.24病毒风向标:Trojan/BHO.jli “BHO劫持者”变种jli
- 英文名称:Trojan/BHO.jli
中文名称:“BHO劫持者”变种jli
病毒长度:103124字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验:e32fc8bd95c395cf714aced4749aa636
特征描述:
Trojan/BHO.jli“BHO劫持者”变种jli是“BHO劫持者”家族中的最新成员之一,采用“Microsoft Visual Basic 6.0”编写,经过加壳保护处理。“BHO劫持者”变种jli运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“wybho.dll”、“Thunder.dll”和配置文件“csys.dat”,还会将自身复制到被感染系统的“\Program Files\Internet Explorer\”文件夹下并重新命名。之后原病毒程序会通过批处理的方式将自身删除,以此消除痕迹。“BHO劫持者”变种jli运行时,会将释放的恶意DLL组件“wybho.dll”和“Thunder.dll”插入到“iexplorer.exe”进程中,从而防止被轻易地查杀。“BHO劫持者”变种jli运行时,会强行篡改被感染系统IE浏览器的默认主页为骇客指定站点“www.sogou*lanqi.com|locktypebho=1|locktypeielnk=1|locktypeelselnk=1”,致使用户在开启IE浏览器后便会自动连接到该站点,给骇客带来了非法的经济利益。“BHO劫持者”变种jli会将自身注册为BHO,以此实现随IE浏览器的启动而加载运行。另外,其会在开始菜单“启动”文件夹中添加名为“TM”的指向病毒程序的快捷方式,以此实现木马的开机自启。
