HTML_IFRAME.CUROJ_DLOADER.IAR

此病毒主要行为为通过篡改合法网页的代码，嵌入重定向的代码指向包含有其他恶意程序的站点。当一个被感染的网页被访问时，此页面中添加的iFrame标签将把用户连接到地址http://{BLOCKED}.65.xxx.180. 当用户被连接到这个地址后，有会被重定向到网址http://{BLOCKED}.38.xxx.13，此站点放置有被趋势科技检测为JS_DLOADER.NTJ恶意程序。这个恶意程序将被下载并在用户计算机中执行。

该恶意HTML脚本影响的系统有Windows 98， ME， NT， 2000， XP， 以及 Server 2003。

对该病毒的防护可以从以下连接下载最新版本的病毒码：

http://support.trendmicro.com.cn/Anti-Virus/Main-Pattern/

病毒详细信息请查询：

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HTML_IFRAME.CU

TROJ_ARTIEF.E

此木马一般作为邮件的附件传播到目标系统。通常该附件为一个.RTF或是.DOC文档，其中内嵌一个被检测为TROJ_ARTIEF.E的.EXE文件

木马在系统中生成如下文件：

%User Profile%\My Documents\microsoft.dll - also detected as TROJ_ARTIEF.E

%User Profile%\My Documents\microsoft.exe - also detected as TROJ_ARTIEF.E

此木马建立以下的注册表项目以自动执行：

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run

Win32KernelStart = "%User Profile%\My Documents\microsoft.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

Win32KernelStart = "%User Profile%\My Documents\microsoft.exe"

木马也将自己注册成浏览器帮助对象：

HKEY_CLASSES_ROOT\CLSID\

{9FD401A7-8555-4E93-9B0F-BF63649BE1A8}\InprocServer32

(Default) = "%User Profile%\My Documents\microsoft.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\ Explorer\Browser Helper Objects\

{9FD401A7-8555-4E93-9B0F-BF63649BE1A8}

此木马会连接到网址http://{BLOCKED}henagear.com/index.php?gt=yes进行恶意程序的下载并且在被感染的系统中执行。

该木马可在Windows 98, ME, NT, 2000, XP, 以及 Server 2003系统运行

对该病毒的防护可以从以下连接下载最新版本的病毒码：

http://support.trendmicro.com.cn/Anti-Virus/Main-Pattern/

病毒详细信息请查询：

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ARTIEF.E

TROJ_YABE.AS

该木马可以由其他恶意程序释放，或者从互联网下载进入系统。它也有可能作为垃圾邮件的附件进入系统。

执行后，在系统文件夹中，它删除执行文件的拷贝，生成以自身随机命名文件的拷贝。它创建注册表项目，以确保每次系统时启动时该文件自动执行。

该木马等待激活的Internet链接，并试图从这个网站上下载恶意文件。

对该病毒的防护可以从以下连接下载最新版本的病毒码：

http://support.trendmicro.com.cn/Anti-Virus/Main-Pattern/

病毒详细信息请查询：

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_YABE.AS