“IE间谍”

电脑中毒了，“我的电脑”双击后得半年才能打开，而且在内存和CPU占用都不多的时候，CPU风扇一直狂转。用瑞星查不出来，用AVG和ewido都没有查出来。

这个系统已经用了一年多了，里面杂七杂八地装了不少东西，本不想重装，但是又觉得重装也蛮好的，就在重装前，想反正要重装了，再找下病毒。于是用icesword开始检查，果然在启动项中发现一个奇怪的东西:msword。再在网上一搜，才知道是IE间谍。

网上搜的结果如下：
[url]1.51CTO.com [/url]

引用

18日病毒预报：“IE间谍”有所活动 小心“下载突击兵”
作者: Arade 出处:51CTO.com　2008-03-17 17:38　  0 砖   0 好    评论  0 条 　进入论坛
阅读提示：51CTO安全频道今日提醒您注意：在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。
新一代扩展的Oracle商务智能

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“IE间谍”、“下载突击兵”和“Win32/Cutwail.DB”都值得关注。

一、明日高危病毒简介及中毒现象描述：

◆“IE间谍”病毒运行后复制自身到系统目录，并重命名为ccwle080305.exe，衍生病毒文件，使用bat批处理删除原文件。在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”目录下添加快捷方式“msword.lnk”，该快捷方式指向：C:\WINDOWS\system32\ccwle080305.exe，以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收集的目的。该病毒可以通过网站进行恶意代码下载传播。

◆“下载突击兵”病毒运行后释放文件在C盘目录%\Documents and Settings\All Users\「开始」菜单\程序\启动%下生成AtiSrv.exe和%HomeDrive%\_uninsep.bat，并映像劫持杀软360、卡巴斯基、江民及风云防火墙等多个杀毒软件和防火墙。病毒完全运行后将自身文件删除。该病毒可以通过网页挂马方式进行自动运行，强行终止反病毒软件，以达到下载大量病毒和恶意软件的目的。

◆Win32/Cutwail.DB是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件，将它们保存到磁盘或者注入其它的程序。同时，这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

Cutwail运行时生成%Windows%\System32\main.sys文件。

病毒危害：

下载并运行任意文件；

发送大量的邮件；

Rootkit 功能。

建议：

不要随意运行exe文件；

不要随意打开邮件附件；

设置强壮的管理员帐号。

二、针对以上病毒，51CTO安全频道建议广大用户：

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。

3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止，安天、冠群金辰的病毒库均已更新，并能查杀上述病毒。感谢冠群金辰和安天为51CTO安全频道提供病毒信息。

2.http://blog.csdn.net/tjhgltt/archive/2008/03/17/2189862.aspx

引用

病毒标签：

病毒名称： Trojan-Spy.Win32.Pophot.afw
病毒类型： 木马类
文件 MD5： 45B47482907438DFBF48E3F570B5AC4C
公开范围： 完全公开
危害等级： 4
文件长度： 94,776 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi
加壳类型： 未知壳

病毒描述：

　　该病毒为间谍木马，病毒运行后复制自身到系统目录，并重命名为
ccwle080305.exe，衍生病毒文件，使用bat批处理删除原文件。添加启动项，
以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收
集的目的。通过恶意网站、其它恶意代码下载传播。　　　

行为分析：

本地行为：

1、 文件运行后会衍生以下文件:
　　　　%System32\ccwld16_080305.dll 　　22,016字节
　　　　%System32\ccwld32_080305.dll 　　181,248字节
　　　　%System32\ccwle080305.exe 　　　 94,776字节
　　　　%Windir%\ccwl16.ini 　　　　　　 256字节

2、在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”
　 目录下添加快捷方式“msword.lnk”，该快捷方式指向：

　　C:\WINDOWS\system32\ccwle080305.exe，
　　
　　以达到启动病毒的目的。

3、ccwl16.ini为病毒体配置文件，该病毒体在释放文件前读取该配置文件信息，
　 具体信息如下：
　　
　　　　[hitpop]
　　　　ver=080305
　　　　kv=0
　　　　[exe]
　　　　fn=C:\WINDOWS\system32\ccwle080305.exe
　　　　[dll_hitpop]
　　　　fn=C:\WINDOWS\system32\ccwld32_080305.dll
　　　　[dll_start]
　　　　fn=C:\WINDOWS\system32\ccwld16_080305.dll
　　　　[ie]
　　　　run=no
　　　　[alexa]
　　　　right_tan88=ok
　　　　[sys]
　　　　bat=c:\ccwlDelmt.bat

4、跳过IE执行保护，瑞星卡卡上网安全助手弹出对话框，及IE其它安全警告对话框；
　 达到更好的隐藏自身。

网络行为:　　
　　
　　1、 后台开启IE，注入ccwld32_080305.dll,连接网络：

　　　　218.2.25.***：下载病毒列表
　　　　218.2.25.***：下载病毒080221.exe
　　
　　　　还会下载其它网页信息。

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　

--------------------------------------------------------------------------------
清除方案：
  1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载：www.antiy.com 。　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 　
　 　 (1)使用安天木马防线或ATool中的“进程管理”关闭病毒进程：
　 　 　关闭后台开启的IE进程
　 　 (2)强行删除病毒文件：
　 　 　System32\ccwld16_080305.dll 22,016字节
　 　 　%System32\ccwld32_080305.dll 181,248字节
　 　 　%System32\ccwle080305.exe 94,776字节
　 　 　%Windir%\ccwl16.ini 256字节
　 　 　%\Documents and Settings%\All Users\
　 　 　「开始」菜单\程序\启动\ msword.lnk
　 　 (3)清空IE临时文件夹与历史记录，以彻底删除病毒下载相关文件。

然而，上面的病毒与我的电脑explorer反应慢没有关系，预知后事如何，且待下回分解