金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:win32.Troj.WeHit.397312
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.复制自身为%windir%system32ccwlae080420.exe, 释放以下文件: %windir%system32ccwld32_080420.dll, %windir%system32ccwld16_080420.dll
行为分析:
这是一个木马下载器程序。运行后会就破坏一些常见杀毒软件的正常运行,然后到指定地址下载其它木马等。它还会修改IE浏览器的默认页面。
:
影响系统:
Win9x,WinMe,Linux
简介:
1.复制自身为%windir%system32ccwlae080420.exe, 释放以下文件: %windir%system32ccwld32_080420.dll, %windir%system32ccwld16_080420.dll
行为分析:
这是一个木马下载器程序。运行后会就破坏一些常见杀毒软件的正常运行,然后到指定地址下载其它木马等。它还会修改IE浏览器的默认页面。
描述:
1.复制自身为%windir%system32ccwlae080420.exe,
释放以下文件:
%windir%system32ccwld32_080420.dll,
%windir%system32ccwld16_080420.dll
如成功释放以上文件,则在文件%windir%ccwl16.ini中记录相关信息。
2.利用映像劫持技术修改注册表使以下安全工具无法运行:
HKLMsoftwaremicrosoftwindows ntCurrentVersionImage File Execution Options
RUNIEP.exe,kregex.exe,kvxp.kxp,360tray.exe,avp.exe。
3.在注册表如下位置创建启动项加载病毒释放的dll文件: HKLMsoftwaremicrosoftwindowsCurrernVersionPoliciesExplorerRun,
"ccwl"=rundll32.exe %Windir%system32ccwld16.dll ccwl16。
4.利用rundll32.exe加载病毒释放文件ccwld16.dll,调用指定函数ccwl16,病毒在系统内查找是否存在常用杀软报警窗口,如存在模拟鼠标按键消息放行,并加载文件ccwld32_080420.dll,该dll会修改IE主页,并到指定地址下载盗号木马。
5.在c盘根目录下是释放bat文件并运行,删除病毒原文件。
1.复制自身为%windir%system32ccwlae080420.exe,
释放以下文件:
%windir%system32ccwld32_080420.dll,
%windir%system32ccwld16_080420.dll
如成功释放以上文件,则在文件%windir%ccwl16.ini中记录相关信息。
2.利用映像劫持技术修改注册表使以下安全工具无法运行:
HKLMsoftwaremicrosoftwindows ntCurrentVersionImage File Execution Options
RUNIEP.exe,kregex.exe,kvxp.kxp,360tray.exe,avp.exe。
3.在注册表如下位置创建启动项加载病毒释放的dll文件: HKLMsoftwaremicrosoftwindowsCurrernVersionPoliciesExplorerRun,
"ccwl"=rundll32.exe %Windir%system32ccwld16.dll ccwl16。
4.利用rundll32.exe加载病毒释放文件ccwld16.dll,调用指定函数ccwl16,病毒在系统内查找是否存在常用杀软报警窗口,如存在模拟鼠标按键消息放行,并加载文件ccwld32_080420.dll,该dll会修改IE主页,并到指定地址下载盗号木马。
5.在c盘根目录下是释放bat文件并运行,删除病毒原文件。
回复
评论病毒
