TrojanDropper.Ekafod.fq“埃卡”变种fq是“埃卡”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“埃卡”变种fq运行时,会在被感染系统的“%SystemRoot%system32”和“%SystemRoot%system32dllcache”文件夹下分别释放恶意DLL组件“ouyn1.dll”。在被感染系统的“%SystemRoot%system32”文件夹下释放恶意DLL组件“ghjik.dll”,并将其注册为BHO。其还会番禺网页设计在该文件夹下释放恶意程序“arxkix.exe”并调用运行。释放完成后,原病毒程序会释放批处理程序“375O540.bat”并调用运行,以此消除痕迹。“埃卡”变种fq运行时,会在被感染系统的后台连接骇客指定的站点“http://www.niu*dou.com/web/download/”,下载恶意程序“runie.dll”、“NoViewRun2.dll”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“埃卡”变种fq还会在当前系统运行的进程中查找是否存在“ravmond.exe”、“360tray.exe”,如果发现则会将其强行关闭,以此达到自我保护的目的。另外,“埃卡”变种fq会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。
