一会要去瑞星和360SAFE反应个,咋就查不出来呢......
病毒标签:
病毒名称: Trojan-Spy.Win32.Pophot.afw
病毒类型: 木马类
文件 MD5: 45B47482907438DFBF48E3F570B5AC4C
公开范围: 完全公开
危害等级: 4
文件长度: 94,776 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: 未知壳
病毒描述:
该病毒为间谍木马,病毒运行后复制自身到系统目录,并重命名为
ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。添加启动项,
以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收
集的目的。通过恶意网站、其它恶意代码下载传播。
行为分析:
本地行为:
1、 文件运行后会衍生以下文件:
%System32/ccwld16_080305.dll 22,016字节
%System32/ccwld32_080305.dll 181,248字节
%System32/ccwle080305.exe 94,776字节
%Windir%/ccwl16.ini 256字节
2、在“%/Documents and Settings%/All Users/「开始」菜单/程序/启动/”
目录下添加快捷方式“msword.lnk”,该快捷方式指向:
C:/WINDOWS/system32/ccwle080305.exe,
以达到启动病毒的目的。
3、ccwl16.ini为病毒体配置文件,该病毒体在释放文件前读取该配置文件信息,
具体信息如下:
[hitpop]
ver=080305
kv=0
[exe]
fn=C:/WINDOWS/system32/ccwle080305.exe
[dll_hitpop]
fn=C:/WINDOWS/system32/ccwld32_080305.dll
[dll_start]
fn=C:/WINDOWS/system32/ccwld16_080305.dll
[ie]
run=no
[alexa]
right_tan88=ok
[sys]
bat=c:/ccwlDelmt.bat
4、跳过IE执行保护,瑞星卡卡上网安全助手弹出对话框,及IE其它安全警告对话框;
达到更好的隐藏自身。
网络行为:
1、 后台开启IE,注入ccwld32_080305.dll,连接网络:
218.2.25.***:下载病毒列表
218.2.25.***:下载病毒080221.exe
还会下载其它网页信息。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% /Documents and Settings
/当前用户/Local Settings/Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:/Winnt/System32
windows95/98/me中默认的安装路径是C:/Windows/System
windowsXP中默认的安装路径是C:/Windows/System32
--------------------------------------------------------------------------------
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线或ATool中的“进程管理”关闭病毒进程:
关闭后台开启的IE进程
(2)强行删除病毒文件:
System32/ccwld16_080305.dll 22,016字节
%System32/ccwld32_080305.dll 181,248字节
%System32/ccwle080305.exe 94,776字节
%Windir%/ccwl16.ini 256字节
%/Documents and Settings%/All Users/
「开始」菜单/程序/启动/ msword.lnk
(3)清空IE临时文件夹与历史记录,以彻底删除病毒下载相关文件。
扫一扫
776
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
