“IE间谍”

电脑中毒了,“我的电脑”双击后得半年才能打开,而且在内存和CPU占用都不多的时候,CPU风扇一直狂转。用瑞星查不出来,用AVG和ewido都没有查出来。

这个系统已经用了一年多了,里面杂七杂八地装了不少东西,本不想重装,但是又觉得重装也蛮好的,就在重装前,想反正要重装了,再找下病毒。于是用icesword开始检查,果然在启动项中发现一个奇怪的东西:msword。再在网上一搜,才知道是IE间谍。

网上搜的结果如下:
[url]1.51CTO.com [/url]

引用

18日病毒预报:“IE间谍”有所活动 小心“下载突击兵”
作者: Arade 出处:51CTO.com 2008-03-17 17:38   0 砖   0 好    评论  0 条  进入论坛
阅读提示:51CTO安全频道今日提醒您注意:在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。
新一代扩展的Oracle商务智能

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。

一、明日高危病毒简介及中毒现象描述:

◆“IE间谍”病毒运行后复制自身到系统目录,并重命名为ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”目录下添加快捷方式“msword.lnk”,该快捷方式指向:C:\WINDOWS\system32\ccwle080305.exe,以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收集的目的。该病毒可以通过网站进行恶意代码下载传播。

◆“下载突击兵”病毒运行后释放文件在C盘目录%\Documents and Settings\All Users\「开始」菜单\程序\启动%下生成AtiSrv.exe和%HomeDrive%\_uninsep.bat,并映像劫持杀软360、卡巴斯基、江民及风云防火墙等多个杀毒软件和防火墙。病毒完全运行后将自身文件删除。该病毒可以通过网页挂马方式进行自动运行,强行终止反病毒软件,以达到下载大量病毒和恶意软件的目的。

◆Win32/Cutwail.DB是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

Cutwail运行时生成%Windows%\System32\main.sys文件。

病毒危害:

下载并运行任意文件;

发送大量的邮件;

Rootkit 功能。

建议:

不要随意运行exe文件;

不要随意打开邮件附件;

设置强壮的管理员帐号。

二、针对以上病毒,51CTO安全频道建议广大用户:

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止,安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢冠群金辰和安天为51CTO安全频道提供病毒信息。


2. http://blog.csdn.net/tjhgltt/archive/2008/03/17/2189862.aspx

引用
病毒标签:

病毒名称: Trojan-Spy.Win32.Pophot.afw
病毒类型: 木马类
文件 MD5: 45B47482907438DFBF48E3F570B5AC4C
公开范围: 完全公开
危害等级: 4
文件长度: 94,776 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: 未知壳

病毒描述:

  该病毒为间谍木马,病毒运行后复制自身到系统目录,并重命名为
ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。添加启动项,
以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收
集的目的。通过恶意网站、其它恶意代码下载传播。   

行为分析:

本地行为:

1、 文件运行后会衍生以下文件:
    %System32\ccwld16_080305.dll   22,016字节
    %System32\ccwld32_080305.dll   181,248字节
    %System32\ccwle080305.exe     94,776字节
    %Windir%\ccwl16.ini        256字节

2、在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”
  目录下添加快捷方式“msword.lnk”,该快捷方式指向:

  C:\WINDOWS\system32\ccwle080305.exe,
  
  以达到启动病毒的目的。

3、ccwl16.ini为病毒体配置文件,该病毒体在释放文件前读取该配置文件信息,
  具体信息如下:
  
    [hitpop]
    ver=080305
    kv=0
    [exe]
    fn=C:\WINDOWS\system32\ccwle080305.exe
    [dll_hitpop]
    fn=C:\WINDOWS\system32\ccwld32_080305.dll
    [dll_start]
    fn=C:\WINDOWS\system32\ccwld16_080305.dll
    [ie]
    run=no
    [alexa]
    right_tan88=ok
    [sys]
    bat=c:\ccwlDelmt.bat

4、跳过IE执行保护,瑞星卡卡上网安全助手弹出对话框,及IE其它安全警告对话框;
  达到更好的隐藏自身。

网络行为:  
  
  1、 后台开启IE,注入ccwld32_080305.dll,连接网络:

    218.2.25.***:下载病毒列表
    218.2.25.***:下载病毒080221.exe
  
    还会下载其它网页信息。

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  

--------------------------------------------------------------------------------
清除方案:
  1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
    (1)使用安天木马防线或ATool中的“进程管理”关闭病毒进程:
     关闭后台开启的IE进程
    (2)强行删除病毒文件:
     System32\ccwld16_080305.dll 22,016字节
     %System32\ccwld32_080305.dll 181,248字节
     %System32\ccwle080305.exe 94,776字节
     %Windir%\ccwl16.ini 256字节
     %\Documents and Settings%\All Users\
     「开始」菜单\程序\启动\ msword.lnk
    (3)清空IE临时文件夹与历史记录,以彻底删除病毒下载相关文件。



然而,上面的病毒与我的电脑explorer反应慢没有关系,预知后事如何,且待下回分解

你可能感兴趣的:(C++,c,windows,IE,C#)