病毒名称(中文):
火热野马182272
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
182272
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序的变种。会在磁盘中释放出文件,会修改注册表,会创建系统服务。还试图连接病毒作者指定的地址,不过经毒霸反病毒工程师检验,这个动作无法实现。
在磁盘中释放出以下文件:
C:\WINDOWS\ccwl16.ini
C:\WINDOWS\SYSTEM32\ccwlae080505.exe
C:\WINDOWS\SYSTEM32\ccwld32_080505.dll
C:\WINDOWS\SYSTEM32\ccwld16_080505.dll
C:\ccwlDelmt.bat
C:\WINDOWS\SYSTEM32\ccwl16.ini
在磁盘中删除了以下文件:
"c:\sample.exe"
病毒会删除自身
C:\WINDOWS\SYSTEM32\ccwld16_080505.dll
"ccwlae~1.exe"
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run"
病毒会连接作者指定的网址:
about:blank
域名:"about:blank"端口:80(TCP)
about:blank/
在磁盘中创建以下配置文件:
ccwl16.ini[hitpop]"ver""080505"
ccwl16.ini[exe]"fn""C:\WINDOWS\SYSTEM32\ccwlae080505.exe"
ccwl16.ini[dll_hitpop]"fn""C:\WINDOWS\SYSTEM32\ccwld32_080505.dll"
ccwl16.ini[dll_start]"fn""C:\WINDOWS\SYSTEM32\ccwld16_080505.dll"
ccwl16.ini[hitpop]"kv""0"
ccwl16.ini[sys]"bat""c:\ccwlDelmt.bat"
在系统中创建了以下进程:
病毒创建了一个CLSID为{00021401-0000-0000-C000-000000000046}类名为IShellLinkA的COM组件
病毒会通过以下途径传播:
病毒会修改硬盘中存在的可执行文件
