江民提醒：谨防“视频宝宝”变种aaje安插恶意插件

近日，江民反病毒中心截获了“视频宝宝”变种aaje。
            
据江民反病毒专家介绍，TrojanDropper.VB.aaje“视频宝宝”变种aaje是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“视频宝宝”变种aaje运行后，在被感染系统的“%programfiles%common files”文件夹下释放恶意图标文件“t.ico”、“d.ico”。文件属性设置为“系统、隐藏”。在被感染系统的用户桌面释放恶意快捷方式“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35”、“图片新闻.hli”，同时将这些文件对应复制到文件夹“Documents and SettingsAll Users「开始」菜单”下。设置这些图标的权限，使用户不能够删除。

在注册表中创建“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等类型文件的关联信息，修改默认图标分别为IEXPLORE.EXE、SHELL32.dll、SHELL32.dll、t.ico、d.ico、SHELL32.dll，修改对应的打开命令的键值，从而达到用户双击运行对应类型的文件时会通过IE访问“http://www.he**uo.com/?1121 ”、“http://www.d**d.com/?1121”、“http://www.pi**ng.net/?1121”、“http://taobao.lo**o.com/?1121”、“http://www.35**.com/?1121”、“http://www.lo**o.com/?1121”的目的。还会在当前目录下释放恶意程序“网聚.exe”和“jies.bak.vbs”。
            
据悉“视频宝宝”变种aaje运行时，还会在用户的计算机系统中安装被称为“风影影视”的软件，这是一款网络电视程序。当运行恶意程序“网聚.exe”时，其会提供若干人体艺术网站浏览入口。还具有进程守护功能，当发现主程序被调试的时候，会强行结束运行。“视频宝宝”变种aaje在运行完成后会创建批处理文件并在后台调用执行，以此将自身删除。

针对该病毒，江民已于第一时间更新病毒库，请广大用户及时升级查杀。
            
江民杀毒软件最新版下载地址http://filedown.jiangmin.com/KV2011/inst.exe（30天免费试用，KV2010用户无需卸载可直接覆盖安装）。或者可以使用江民免费在线查毒系统进行病毒检测：http://online.jiangmin.com/