病毒名称(中文):
对抗型广告木马397312
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
广告软件
病毒长度:
397312
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个广告木马。它在进入用户系统后,会破坏部分安全软件的正常运行,然后修改系统注册表,频繁弹出广告页面,干扰用户的正常上网,并浪费用户的流量资源。
病毒运行后释放以下病毒文件:
%systemroot%\system32\ccwlae_080419.exe
%systemroot%\system32\ccwld32_080419.dll
%systemroot%\system32\ccwld16_080419.dll
%CommonStartup%\msword.lnk(启动项)
读取病毒配置文件%windir%\ccwl16.ini,获取[hitpop]下ver的值.该值为当前病毒的版本号.
病毒进程提权,枚举系统上进程,如发现avp.exe进程,则设置系统时间为1987年.
查找系统上进程,获取进程名为"RUNIEP.EXE"、"KRegEx.exe"、"KVXP.kxp"、"360tray.exe"的进程id,通过执行"ntsd-cq-ppid"结束安全软件进程.
查找窗口标题为"IE执行保护"的窗口,模拟鼠标点击"答应执行"按钮.
查找窗口标题为"瑞星卡卡上网安全助手手-IE防漏墙"的窗口,模拟鼠标点击"答应"按钮.
查找窗口类名为"AVP.AlertDialog"的窗口,模拟鼠标点击"创建规则"按钮或"答应"按钮或"答应(&A)"按钮.
查找窗口类名为"AVP.Product_Notification"的窗口,模拟鼠标点击"否"按钮.
查找窗口标题为"安全警告"的窗口,模拟鼠标点击"是"按钮.
设置%windir%\ccwl16.ini文件[exe]、[dll_hitpop]、[dll_start]下的fn分别为%systemroot%\system32\ccwlae_080419.exe,%systemroot%\system32\ccwld32_080419.dll,%systemroot%\system32\ccwld16_080419.dll.
病毒里会有一个当前病毒的版本号,会与第一步取出来的版本号进行比较,假如当前病毒的版本号大于等于第一步取出来的版本号,则将当前病毒的版本号写入
查找窗口类名为"AVP.TrafficMonConnectionTerm",窗口标题为"通信监控:终止连接"的窗口,模拟鼠标操作点击"否"按钮.
检查%sys32dir%\ccwl16.ini文件,假如[dll_start]下fn指向的文件不存在,而[dll_start_bak]下fn指向的文件存在,则复制[dll_start_bak]下fn至[dll_start]下fn.
检查checkcj_zsms.ini文件里[mydown]下fn_exe和fn_dll_start的值是否为空并且文件是否存在,再检查注册表"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run"下zsms_check的值长度是否小于4,以上检查失败的话则取url地址最后一个"/"后的字符串(下载文件名),假如长度为1,如(1.exe).则设置默认文件名alx.exe用作下载时保存的文件名.保存路径为%temp%文件夹,下载后执行.
判定%temp%\ielogtmp.dat文件是否存在,假如存在,则解密该文件内容.
关闭窗口类名为"InternetExplorer_TridenDlgFrame"的窗口.查找窗口标题名为"添到到收藏夹"的窗口,并模拟鼠标点击"取消"按钮.查找窗口标题名为"安全设置警告"的窗口,并模拟点击"否(&N)"按钮.查找类名为"TMessageForm"的窗口,并模拟鼠标点击"OK"按钮.查找窗口标题名为"插件拦截提示"的窗口,并模拟鼠标点击"是"按钮.
查找窗口标题名为"隐私警报"的窗口,并模拟操作选中"将我的决定应用到来自此网站的所有cookie(&D)"点击"答应Cookie(&A)".查找窗口标题名为"雅虎助手-信息提示"的窗口,模拟操作选中"不再显示此信息(&D)"点击"确定"按钮.查找窗口标题名为"雅虎助手广告拦截"的窗口,模拟操作选中"下次不显示此提示框"点击"确定"按钮.
不定时弹出窗口,网址内容大致是用作刷流量用的.
读取注册表"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run"下"ccwl"的值,判定是否与"rundll32.exe%sys32dir%\ccwld16_080419.dllccwl16"相等,不相等则设置为"rundll32.exe%sys32dir%\ccwld16_080419.dllccwl16".
删除%windir%\ccwl16.ini文件[old]下dll、dll32和exe指向的文件.
创建iexplore.exe进程,通过调用CreateRemoteThread将病毒文件%sys32dir%\ccwld32_080419.dll注入至iexplore.exe的进程空间.注入成功会设置%windir%\ccwl16.ini文件[ie]下run的值为ok.
创建批处理文件并执行(删除自身).
