病毒名称(中文):
下载者Pophot
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
259416
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者,下载的病毒有盗号的功能。该病毒运行后会立即修改系统时间,使依靠系统时间的杀软失效,然后开始进行更多的病毒下载工作。只要用户打开IE浏览器时,系统资源会被严重占用,此时便是病毒正在下载的症状。病毒的源文件也会自删除,使用户不能找到源文件。该病毒的症状明显,但是生成以及下载的病毒文件不轻易找出,广大用户需要注重。
病毒运行后,生成以下病毒文件
%temp%\zsmstccj.bat
%temp%\080131.exe
%temp%\ie.ini
%windows%\system32\mcdsrv16_080119.dll
%windows%\system32\mcdsrv16_080131.dll
%windows%\system32\mcdsrv32_080119.dll
%windows%\system32\mcdsrv32_080131.dll
%windows%\system32\myiecfg.ini
%windows%\system32\ridiap080119.exe
%windows%\system32\ridiap080131.exe
2.该病毒运行后,凭着已经下载的病毒,在没有打开IE浏览器的时候,可以在任务治理器里看到有2-3个关于IE浏览器的进程,次现象是明显的病毒症状。
3.打开浏览器后,发现系统资源被严重占用,操作起来十分困难。当关闭浏览器时,次症状消失,从此可以看出病毒是挂在iexplore.exe进程下。
4.关闭浏览器,发现桌面竟然多了一个网页快捷方式,名字为"游戏金币点卡中心",点击无任何反映,但是系统资源会再一次被占用。
5.通过一直在运行的伪装iexplore.exe进程,一直悄然的下载病毒到系统的临时文件夹下,不轻易让用户发现。
6.该文件运行完毕后,会自删除,使用户无法找到源文件。
7.该病毒会模拟键盘,获取用户输入的帐号信息,并且会下载IE插件并且自动关闭安全警报等功能。
8.自动添加病毒启动项zsms_check。
9.修改了系统时间为1987年,使依靠系统时间的杀软顿时失效。用户机器的安全性大大降低。
10.病毒会根据所下载的文本candown.txt里面的文本内容进行下载指定的病毒。