后，会删除被感染系统“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”文件夹下的IE快捷方式，之后会在该文件夹下释放“Intrenet Exqlorer.atr0”、“A今日团

购”、“Intrenet Explorere”等垃圾快捷方式。在“%USERPROFILE%\Favorites\”文件夹下创建名为“购物名站大全”的文件夹，并且会在其中释放指向等大量站点的垃圾Internet快捷方式，以此诱骗用户对这些站点进行访问。同时，其还会在桌面、“%ALLUSERSPROFILE%\All Users\「开始」菜单\”和“%ALLUSERSPROFILE%\「

开始」菜单\程序\”文件夹下创建假冒的IE快捷方式和垃圾Internet快捷方式，通过这些快捷方式启动的浏览器会自动访问指定的站点，从而给骇客带来了非法的经济利益。

英文名称：TrojanDownloader.Generic.es
中文名称：“通犯”变种es
病毒长度：322560字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验：eb4652ba804828bce94216c4cdc2d9b1
特征描述：
TrojanDownloader.Generic.es“通犯”变种es是“通犯”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“通犯”变种es会被伪装成腾讯QQ的样式，以此诱骗用户点击运行。“通

犯”变种es运行后，会在被感染系统的“%programfiles%\QvodPlay\”文件夹下释放恶意DLL组件“whmixn.dll”，还会在“%programfiles%\MySQLPlus\”文件夹下释放“crsas.exe”。“通犯”变种es

运行时，会在被感染系统的后台连接骇客指定的远程站点，读取配置文件“whmixn.txt”，然后根据其中的设置下载恶意程序并自动调用运行。

其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，从而给用户造成了不同程度的损失。另外，“通犯”变种es会在被感染系统注册表启动项中添加键值，以

此实现开机后自动运行。