电脑中毒了,“我的电脑”双击后得半年才能打开,而且在内存和CPU占用都不多的时候,CPU风扇一直狂转。用瑞星查不出来,用AVG和ewido都没有查出来。
这个系统已经用了一年多了,里面杂七杂八地装了不少东西,本不想重装,但是又觉得重装也蛮好的,就在重装前,想反正要重装了,再找下病毒。于是用icesword开始检查,果然在启动项中发现一个奇怪的东西:msword。再在网上一搜,才知道是IE间谍。
网上搜的结果如下:
[b][url]1.51CTO.com [/url][/b]
[quote]
18日病毒预报:“IE间谍”有所活动 小心“下载突击兵”
作者: Arade 出处:51CTO.com 2008-03-17 17:38 0 砖 0 好 评论 0 条 进入论坛
阅读提示:51CTO安全频道今日提醒您注意:在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。
新一代扩展的Oracle商务智能
【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“IE间谍”病毒运行后复制自身到系统目录,并重命名为ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”目录下添加快捷方式“msword.lnk”,该快捷方式指向:C:\WINDOWS\system32\ccwle080305.exe,以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收集的目的。该病毒可以通过网站进行恶意代码下载传播。
◆“下载突击兵”病毒运行后释放文件在C盘目录%\Documents and Settings\All Users\「开始」菜单\程序\启动%下生成AtiSrv.exe和%HomeDrive%\_uninsep.bat,并映像劫持杀软360、卡巴斯基、江民及风云防火墙等多个杀毒软件和防火墙。病毒完全运行后将自身文件删除。该病毒可以通过网页挂马方式进行自动运行,强行终止反病毒软件,以达到下载大量病毒和恶意软件的目的。
◆Win32/Cutwail.DB是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。
Cutwail运行时生成%Windows%\System32\main.sys文件。
病毒危害:
下载并运行任意文件;
发送大量的邮件;
Rootkit 功能。
建议:
不要随意运行exe文件;
不要随意打开邮件附件;
设置强壮的管理员帐号。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢冠群金辰和安天为51CTO安全频道提供病毒信息。[/quote]
2.[b][url]http://blog.csdn.net/tjhgltt/archive/2008/03/17/2189862.aspx[/url][/b]
[quote]病毒标签:
病毒名称: Trojan-Spy.Win32.Pophot.afw
病毒类型: 木马类
文件 MD5: 45B47482907438DFBF48E3F570B5AC4C
公开范围: 完全公开
危害等级: 4
文件长度: 94,776 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: 未知壳
病毒描述:
该病毒为间谍木马,病毒运行后复制自身到系统目录,并重命名为
ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。添加启动项,
以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收
集的目的。通过恶意网站、其它恶意代码下载传播。
行为分析:
本地行为:
1、 文件运行后会衍生以下文件:
%System32\ccwld16_080305.dll 22,016字节
%System32\ccwld32_080305.dll 181,248字节
%System32\ccwle080305.exe 94,776字节
%Windir%\ccwl16.ini 256字节
2、在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”
目录下添加快捷方式“msword.lnk”,该快捷方式指向:
C:\WINDOWS\system32\ccwle080305.exe,
以达到启动病毒的目的。
3、ccwl16.ini为病毒体配置文件,该病毒体在释放文件前读取该配置文件信息,
具体信息如下:
[hitpop]
ver=080305
kv=0
[exe]
fn=C:\WINDOWS\system32\ccwle080305.exe
[dll_hitpop]
fn=C:\WINDOWS\system32\ccwld32_080305.dll
[dll_start]
fn=C:\WINDOWS\system32\ccwld16_080305.dll
[ie]
run=no
[alexa]
right_tan88=ok
[sys]
bat=c:\ccwlDelmt.bat
4、跳过IE执行保护,瑞星卡卡上网安全助手弹出对话框,及IE其它安全警告对话框;
达到更好的隐藏自身。
网络行为:
1、 后台开启IE,注入ccwld32_080305.dll,连接网络:
218.2.25.***:下载病毒列表
218.2.25.***:下载病毒080221.exe
还会下载其它网页信息。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线或ATool中的“进程管理”关闭病毒进程:
关闭后台开启的IE进程
(2)强行删除病毒文件:
System32\ccwld16_080305.dll 22,016字节
%System32\ccwld32_080305.dll 181,248字节
%System32\ccwle080305.exe 94,776字节
%Windir%\ccwl16.ini 256字节
%\Documents and Settings%\All Users\
「开始」菜单\程序\启动\ msword.lnk
(3)清空IE临时文件夹与历史记录,以彻底删除病毒下载相关文件。 [/quote]
[b]然而,上面的病毒与我的电脑explorer反应慢没有关系,预知后事如何,且待下回分解[/b]
这个系统已经用了一年多了,里面杂七杂八地装了不少东西,本不想重装,但是又觉得重装也蛮好的,就在重装前,想反正要重装了,再找下病毒。于是用icesword开始检查,果然在启动项中发现一个奇怪的东西:msword。再在网上一搜,才知道是IE间谍。
网上搜的结果如下:
[b][url]1.51CTO.com [/url][/b]
[quote]
18日病毒预报:“IE间谍”有所活动 小心“下载突击兵”
作者: Arade 出处:51CTO.com 2008-03-17 17:38 0 砖 0 好 评论 0 条 进入论坛
阅读提示:51CTO安全频道今日提醒您注意:在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。
新一代扩展的Oracle商务智能
【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“IE间谍”病毒运行后复制自身到系统目录,并重命名为ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”目录下添加快捷方式“msword.lnk”,该快捷方式指向:C:\WINDOWS\system32\ccwle080305.exe,以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收集的目的。该病毒可以通过网站进行恶意代码下载传播。
◆“下载突击兵”病毒运行后释放文件在C盘目录%\Documents and Settings\All Users\「开始」菜单\程序\启动%下生成AtiSrv.exe和%HomeDrive%\_uninsep.bat,并映像劫持杀软360、卡巴斯基、江民及风云防火墙等多个杀毒软件和防火墙。病毒完全运行后将自身文件删除。该病毒可以通过网页挂马方式进行自动运行,强行终止反病毒软件,以达到下载大量病毒和恶意软件的目的。
◆Win32/Cutwail.DB是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。
Cutwail运行时生成%Windows%\System32\main.sys文件。
病毒危害:
下载并运行任意文件;
发送大量的邮件;
Rootkit 功能。
建议:
不要随意运行exe文件;
不要随意打开邮件附件;
设置强壮的管理员帐号。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢冠群金辰和安天为51CTO安全频道提供病毒信息。[/quote]
2.[b][url]http://blog.csdn.net/tjhgltt/archive/2008/03/17/2189862.aspx[/url][/b]
[quote]病毒标签:
病毒名称: Trojan-Spy.Win32.Pophot.afw
病毒类型: 木马类
文件 MD5: 45B47482907438DFBF48E3F570B5AC4C
公开范围: 完全公开
危害等级: 4
文件长度: 94,776 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: 未知壳
病毒描述:
该病毒为间谍木马,病毒运行后复制自身到系统目录,并重命名为
ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。添加启动项,
以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收
集的目的。通过恶意网站、其它恶意代码下载传播。
行为分析:
本地行为:
1、 文件运行后会衍生以下文件:
%System32\ccwld16_080305.dll 22,016字节
%System32\ccwld32_080305.dll 181,248字节
%System32\ccwle080305.exe 94,776字节
%Windir%\ccwl16.ini 256字节
2、在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”
目录下添加快捷方式“msword.lnk”,该快捷方式指向:
C:\WINDOWS\system32\ccwle080305.exe,
以达到启动病毒的目的。
3、ccwl16.ini为病毒体配置文件,该病毒体在释放文件前读取该配置文件信息,
具体信息如下:
[hitpop]
ver=080305
kv=0
[exe]
fn=C:\WINDOWS\system32\ccwle080305.exe
[dll_hitpop]
fn=C:\WINDOWS\system32\ccwld32_080305.dll
[dll_start]
fn=C:\WINDOWS\system32\ccwld16_080305.dll
[ie]
run=no
[alexa]
right_tan88=ok
[sys]
bat=c:\ccwlDelmt.bat
4、跳过IE执行保护,瑞星卡卡上网安全助手弹出对话框,及IE其它安全警告对话框;
达到更好的隐藏自身。
网络行为:
1、 后台开启IE,注入ccwld32_080305.dll,连接网络:
218.2.25.***:下载病毒列表
218.2.25.***:下载病毒080221.exe
还会下载其它网页信息。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线或ATool中的“进程管理”关闭病毒进程:
关闭后台开启的IE进程
(2)强行删除病毒文件:
System32\ccwld16_080305.dll 22,016字节
%System32\ccwld32_080305.dll 181,248字节
%System32\ccwle080305.exe 94,776字节
%Windir%\ccwl16.ini 256字节
%\Documents and Settings%\All Users\
「开始」菜单\程序\启动\ msword.lnk
(3)清空IE临时文件夹与历史记录,以彻底删除病毒下载相关文件。 [/quote]
[b]然而,上面的病毒与我的电脑explorer反应慢没有关系,预知后事如何,且待下回分解[/b]