病毒名称(中文):
木马组合模块219648
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
181760
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这个病毒是win32.Troj.WeHit.397312木马的组成部分。eHit家族木马分工明确,除了传统下载器功能以外,还有广告软件功能,会在后台访问指定网站刷流量信息。
1.读取win32.Troj.WeHit.397312木马释放在系统目录下的%windir\ccwl16.ini文件,其记录了一些成功释放到系统中的文件名及路径等信息。
2.在文件夹X:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动下创建快捷方式msword,指向"我的电脑";
3.查找系统内是否存在杀软提示病毒或木马窗口窗口,如存在这些窗口则模拟鼠标按键消息放行,并关闭窗口。
4.木马到指定地址http://www.chch17.com.cn/list.htm下载文件,保存为%Temp%\ccwlie.htm,该文件是木马下载地址列表文件,通过该列表下载新木马。
5.将自身注册为BHO随IE启动:
hklm\software\microsoft\windows\currentversion\explorer\browserhelperobjects{f1fabe79-25fc-46de-8c5a-2c6db9d64333};
6.后台访问指定站点刷流量,并收集用户机器mac地址等信息,修改IE主页。