`

“IE间谍”

阅读更多
电脑中毒了,“我的电脑”双击后得半年才能打开,而且在内存和CPU占用都不多的时候,CPU风扇一直狂转。用瑞星查不出来,用AVG和ewido都没有查出来。

这个系统已经用了一年多了,里面杂七杂八地装了不少东西,本不想重装,但是又觉得重装也蛮好的,就在重装前,想反正要重装了,再找下病毒。于是用icesword开始检查,果然在启动项中发现一个奇怪的东西:msword。再在网上一搜,才知道是IE间谍。

网上搜的结果如下:
[url]1.51CTO.com [/url]

引用

18日病毒预报:“IE间谍”有所活动 小心“下载突击兵”
作者: Arade 出处:51CTO.com 2008-03-17 17:38   0 砖   0 好    评论  0 条  进入论坛
阅读提示:51CTO安全频道今日提醒您注意:在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。
新一代扩展的Oracle商务智能

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。

一、明日高危病毒简介及中毒现象描述:

◆“IE间谍”病毒运行后复制自身到系统目录,并重命名为ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”目录下添加快捷方式“msword.lnk”,该快捷方式指向:C:\WINDOWS\system32\ccwle080305.exe,以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收集的目的。该病毒可以通过网站进行恶意代码下载传播。

◆“下载突击兵”病毒运行后释放文件在C盘目录%\Documents and Settings\All Users\「开始」菜单\程序\启动%下生成AtiSrv.exe和%HomeDrive%\_uninsep.bat,并映像劫持杀软360、卡巴斯基、江民及风云防火墙等多个杀毒软件和防火墙。病毒完全运行后将自身文件删除。该病毒可以通过网页挂马方式进行自动运行,强行终止反病毒软件,以达到下载大量病毒和恶意软件的目的。

◆Win32/Cutwail.DB是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

Cutwail运行时生成%Windows%\System32\main.sys文件。

病毒危害:

下载并运行任意文件;

发送大量的邮件;

Rootkit 功能。

建议:

不要随意运行exe文件;

不要随意打开邮件附件;

设置强壮的管理员帐号。

二、针对以上病毒,51CTO安全频道建议广大用户:

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止,安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢冠群金辰和安天为51CTO安全频道提供病毒信息。


2.http://blog.csdn.net/tjhgltt/archive/2008/03/17/2189862.aspx

引用
病毒标签:

病毒名称: Trojan-Spy.Win32.Pophot.afw
病毒类型: 木马类
文件 MD5: 45B47482907438DFBF48E3F570B5AC4C
公开范围: 完全公开
危害等级: 4
文件长度: 94,776 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: 未知壳

病毒描述:

  该病毒为间谍木马,病毒运行后复制自身到系统目录,并重命名为
ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。添加启动项,
以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收
集的目的。通过恶意网站、其它恶意代码下载传播。   

行为分析:

本地行为:

1、 文件运行后会衍生以下文件:
    %System32\ccwld16_080305.dll   22,016字节
    %System32\ccwld32_080305.dll   181,248字节
    %System32\ccwle080305.exe     94,776字节
    %Windir%\ccwl16.ini        256字节

2、在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”
  目录下添加快捷方式“msword.lnk”,该快捷方式指向:

  C:\WINDOWS\system32\ccwle080305.exe,
  
  以达到启动病毒的目的。

3、ccwl16.ini为病毒体配置文件,该病毒体在释放文件前读取该配置文件信息,
  具体信息如下:
  
    [hitpop]
    ver=080305
    kv=0
    [exe]
    fn=C:\WINDOWS\system32\ccwle080305.exe
    [dll_hitpop]
    fn=C:\WINDOWS\system32\ccwld32_080305.dll
    [dll_start]
    fn=C:\WINDOWS\system32\ccwld16_080305.dll
    [ie]
    run=no
    [alexa]
    right_tan88=ok
    [sys]
    bat=c:\ccwlDelmt.bat

4、跳过IE执行保护,瑞星卡卡上网安全助手弹出对话框,及IE其它安全警告对话框;
  达到更好的隐藏自身。

网络行为:  
  
  1、 后台开启IE,注入ccwld32_080305.dll,连接网络:

    218.2.25.***:下载病毒列表
    218.2.25.***:下载病毒080221.exe
  
    还会下载其它网页信息。

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  

--------------------------------------------------------------------------------
清除方案:
  1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
    (1)使用安天木马防线或ATool中的“进程管理”关闭病毒进程:
     关闭后台开启的IE进程
    (2)强行删除病毒文件:
     System32\ccwld16_080305.dll 22,016字节
     %System32\ccwld32_080305.dll 181,248字节
     %System32\ccwle080305.exe 94,776字节
     %Windir%\ccwl16.ini 256字节
     %\Documents and Settings%\All Users\
     「开始」菜单\程序\启动\ msword.lnk
    (3)清空IE临时文件夹与历史记录,以彻底删除病毒下载相关文件。



然而,上面的病毒与我的电脑explorer反应慢没有关系,预知后事如何,且待下回分解
分享到:
评论

相关推荐

    木马间谍克星 V1.80

    现在木马间谍程序层出不穷,有偷取您的上网帐号、银行帐号、游戏帐号、邮箱帐号的,也有QQ尾巴病毒一样疯狂发消息的,还有狂发带病毒Email的,还有锁住IE强制访问一些色情站点的,等等。 经过分析我们发现90%的木马...

    反浏览器劫持病毒,超越IE修复极限,立足永久修复的治本之点。同时具备IE修复、杀QQ病毒、杀各种以驱动服务方式运行的病毒、杀各类木马(无进程木马、插入线程木马)、清除各种间谍广告程序、各种流行病毒及系统救援与日志上报于一身,一套等于多套。修复易死灰复燃顽固性、古怪性恶意网页所破坏的不能完全彻底修复的IE,专门清除间隔一段时间自动弹出恶意网页、多开几次IE及重起系统后又会被反复篡改的不能从注册表、进程、服务、启动项等清除的、挥之不去、除之不尽的奇怪恶意代码;一次性根除在用户在打开文本文件、可执行

    同时具备IE修复、杀QQ病毒、杀各种以驱动服务方式运行的病毒、杀各类木马(无进程木马、插入线程木马)、清除各种间谍广告程序、各种流行病毒及系统救援与日志上报于一身,一套等于多套。修复易死灰复燃顽固性、古怪性...

    反间谍专家 V2.1.1.50

    反间谍专家提供超强系统免疫功能,确保操作系统不再受到恶意网站、间谍软件、有害ActiveX的侵扰,并且能够快速恢复被恶意代码篡改的IE浏览器。 此外,如果您对系统非常熟悉,反间谍专家还为您提供了进程管理、...

    常用实用工具,IE修复工具

    考虑到IE浏览器经常成为恶意软件的目标,该工具可能包括安全防护功能,如扫描并移除病毒、间谍软件或广告软件,以保护用户的隐私和数据安全。 **知识点5:用户界面与易用性** 一个好的电脑助手应具有直观的用户界面...

    IE修复免疫专家 v3.57

    同时具备IE修复、IE免疫、清除各种间谍广告程序、各种流行病毒等于一身。不知道大家上网时有没有突然弹出一个插件让你安装,而且系统会暂停响应,这样的事非常的恼人。IE修复免疫专家就是通过禁止相应的ActiveX调用...

    IE浏览器的最佳安全保护

    3. 防范恶意软件:安装可靠的防病毒和反间谍软件,如Windows Defender,可以帮助检测和阻止潜在的威胁。同时,开启实时扫描和定期全盘扫描,以保持系统的清洁。 4. 避免下载不明链接和附件:不要随意点击邮件或网页...

    如何解决IE主页被篡改

    然而,如果问题仍然存在,可能需要借助反病毒或反间谍软件进行全面扫描,以找出并移除可能存在的恶意软件。 请注意,这些步骤需要一定的电脑操作知识,如果你不确定自己的操作,建议寻求专业人员的帮助,以免误操作...

    用Spybot屏蔽间谍程序

    Spybot还可以保护IE浏览器免受恶意网页代码的侵害,通过Browser Pages选项卡,你可以设置IE的启动页和搜索引擎,防止被篡改。 总的来说,Spybot是个人电脑安全防护的重要工具,它可以帮助用户抵御间谍软件和广告...

    IE被修改IE被修改等问题IE被修改等问题

    2. **恶意软件与病毒**:这类问题往往与恶意软件、病毒或间谍软件有关,它们可以通过下载的文件、不安全的网页、电子邮件附件等方式侵入用户的电脑。一旦激活,这些程序可能会改变系统设置,包括修改浏览器配置。 3...

    7code反间谍综合管理软件

    [img]http://image2.sina.com.cn/IT/down/newpage/zzh_lmy_060.gif[/img] <br/>软件名称:7code反间谍综合管理软件 软件版本:V2.0 建议分类:PC安全/网络安全/系统安全 软件标签:反间谍/系统优化/...

    IE主页锁定

    锁定IE主页是为了防止未经用户许可的第三方程序更改它,这些程序通常以广告软件、间谍软件或恶意软件的形式出现,它们会将用户的主页设置为它们自己的网页,以便于投放广告或收集用户数据。锁定主页能确保用户的浏览...

    黄山IE修复专家V7.70

     病毒杀各种以服务方式运行的病毒、杀各类木马(无进程木马、插入线程木马)、清除各种间谍  广告程序、各种流行病毒及系统救援与日志上报于一身,一套等于多套。修复易死灰复燃顽固  性、古怪性恶意网页所破坏的不...

    Windows 安全诊所:清除间谍软件下篇

    IE浏览器的设置必须是非常安全的。每台计算机至少安装两种间谍软件清除工具,如Spybot - Search & Destroy和Ad-Aware。应该安装Javacool软件公司的SpywareBlaster软件,以阻止已知的恶意ActiveX控件在每一台计算机上...

    IER(IE修复)

    3. **安全问题**:IE浏览器可能会受到病毒、间谍软件或恶意软件的攻击,导致数据泄露或系统受损。IER提供安全扫描,检查浏览器的安全设置,并提供必要的更新,以增强其防护能力。 4. **兼容性问题**:一些网站可能...

    IE修复工具

    7. **隐私与安全**:修复工具还可以增强IE的安全性,确保浏览器不受恶意软件、间谍软件和钓鱼攻击的威胁。它可以扫描并移除潜在的危险项,同时更新浏览器的安全补丁。 在使用"IE修复工具"前,建议先备份重要数据,...

    五招提高ie运行速度.docx

    确保网络连接稳定,检查是否存在病毒、间谍软件或过多的后台程序占用带宽,都有助于提升IE的浏览速度。同时,关注网络流量高峰期,避免访问高流量的网站,也可以缓解网速问题。 4. **禁用加载项**:浏览器加载项是...

    IE 修复工具

    3. **恶意软件清理**:扫描并移除可能导致IE异常的恶意软件、病毒或间谍软件。 4. **缓存清理**:清理浏览器的临时文件和缓存,以提高浏览速度和隐私保护。 5. **插件管理**:检查并管理可能导致冲突的浏览器插件...

    Vista中的IE7高级安全功能介绍

    IE 7采用了一个全新的架构,设计目标是增强用户在安全浏览时的信心,同时有效地防止恶意软件如蠕虫、病毒、广告软件和间谍软件等的入侵。此外,它还致力于保护用户免受钓鱼攻击和欺诈性网站的危害,确保电子商务交易...

    万能双盾极品ie防护软件

    该软件集成了多种防护功能,以防止恶意软件、病毒、间谍软件等对用户的计算机系统造成威胁。在互联网日益复杂的安全环境下,【万能双盾】为用户提供了坚实的防线,确保了网上冲浪的安全。 在描述中,用户提到"本人...

    详解主流浏览器多进程架构:Chrome、IE

    然而,网络安全威胁也随之增加,包括恶意软件、木马、间谍软件等,对用户的安全和隐私构成了严重挑战。为了提高安全性与稳定性,主流浏览器如Chrome、IE等纷纷引入了多进程架构,这是一种重要的技术革新,旨在实现更...

Global site tag (gtag.js) - Google Analytics