病毒名称(中文):
劫持者下载器397312
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
92272
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器程序。运行后会就破坏一些常见杀毒软件的正常运行,然后到指定地址下载其它木马等。它还会修改IE浏览器的默认页面。
1.复制自身为%windir%\system32\ccwlae080420.exe,
释放以下文件:
%windir%\system32\ccwld32_080420.dll,
%windir%\system32\ccwld16_080420.dll
如成功释放以上文件,则在文件%windir%\ccwl16.ini中记录相关信息。
2.利用映像劫持技术修改注册表使以下安全工具无法运行:
HKLM\software\microsoft\windowsnt\CurrentVersion\ImageFileExecutionOptions
RUNIEP.exe,kregex.exe,kvxp.kxp,360tray.exe,avp.exe。
3.在注册表如下位置创建启动项加载病毒释放的dll文件:HKLM\software\microsoft\windows\CurrernVersion\Policies\Explorer\Run,
"ccwl"=rundll32.exe%Windir%\system32\ccwld16.dllccwl16。
4.利用rundll32.exe加载病毒释放文件ccwld16.dll,调用指定函数ccwl16,病毒在系统内查找是否存在常用杀软报警窗口,如存在模拟鼠标按键消息放行,并加载文件ccwld32_080420.dll,该dll会修改IE主页,并到指定地址下载盗号木马。
5.在c盘根目录下是释放bat文件并运行,删除病毒原文件。