Win32.Troj.Agent.ll.397312 手动专杀及 病毒资料

病毒名称(中文): 对抗型广告木马397312 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 广告软件 病毒长度: 397312 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个广告木马。它在进入用户系统后，会破坏部分安全软件的正常运行，然后修改系统注册表，频繁弹出广告页面，干扰用户的正常上网，并浪费用户的流量资源。

病毒运行后释放以下病毒文件:
%systemroot%\system32\ccwlae_080419.exe
%systemroot%\system32\ccwld32_080419.dll
%systemroot%\system32\ccwld16_080419.dll
%Common Startup%\msword.lnk (启动项)

读取病毒配置文件 %windir%\ccwl16.ini,获取 [hitpop] 下 ver 的值.该值为当前病毒的版本号.

病毒进程提权,枚举系统上进程,如发现 avp.exe 进程,则设置系统时间为 1987 年.

查找系统上进程,获取进程名为 "RUNIEP.EXE"、"KRegEx.exe"、"KVXP.kxp"、"360tray.exe"的进程id,通过执行 "ntsd -c q -p pid" 结束安全软件进程.

查找窗口标题为"IE执行保护"的窗口,模拟鼠标点击"允许执行"按钮.

查找窗口标题为"瑞星卡卡上网安全助手手 - IE防漏墙"的窗口,模拟鼠标点击"允许"按钮.

查找窗口类名为"AVP.AlertDialog"的窗口,模拟鼠标点击"创建规则"按钮或"允许"按钮或"允许(&A)"按钮.

查找窗口类名为"AVP.Product_Notification"的窗口,模拟鼠标点击"否"按钮.

查找窗口标题为"安全警告"的窗口,模拟鼠标点击"是"按钮.

设置 %windir%\ccwl16.ini 文件 [exe]、[dll_hitpop]、[dll_start] 下的 fn 分别为 %systemroot%\system32\ccwlae_080419.exe , %systemroot%\system32\ccwld32_080419.dll, %systemroot%\system32\ccwld16_080419.dll .

病毒里会有一个当前病毒的版本号,会与第一步取出来的版本号进行比较,如果当前病毒的版本号大于等于第一步取出来的版本号,则将当前病毒的版本号写入
查找窗口类名为"AVP.TrafficMonConnectionTerm",窗口标题为"通信监控: 终止连接"的窗口,模拟鼠标操作点击"否"按钮.

检查 %sys32dir%\ccwl16.ini 文件,如果 [dll_start] 下 fn 指向的文件不存在,而 [dll_start_bak] 下 fn 指向的文件存在,则复制 [dll_start_bak] 下 fn 至 [dll_start] 下 fn.

检查 checkcj_zsms.ini 文件里 [mydown] 下 fn_exe 和 fn_dll_start 的值是否为空并且文件是否存在,再检查注册表 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run" 下 zsms_check 的值长度是否小于 4,以上检查失败的话则取 url 地址最后一个 "/" 后的字符串(下载文件名),如果长度为1,如(1.exe).则设置默认文件名 alx.exe 用作下载时保存的文件名.保存路径为 %temp% 文件夹,下载后执行.

判断 %temp%\ielogtmp.dat 文件是否存在,如果存在,则解密该文件内容.

关闭窗口类名为"Internet Explorer_TridenDlgFrame"的窗口.查找窗口标题名为"添到到收藏夹"的窗口,并模拟鼠标点击"取消"按钮.查找窗口标题名为"安全设置警告"的窗口,并模拟点击"否(&N)"按钮.查找类名为"TMessageForm"的窗口,并模拟鼠标点击"OK"按钮.查找窗口标题名为"插件拦截提示"的窗口,并模拟鼠标点击"是"按钮.
查找窗口标题名为"隐私警报"的窗口,并模拟操作选中"将我的决定应用到来自此网站的所有 cookie(&D)"点击"允许 Cookie(&A)".查找窗口标题名为"雅虎助手 - 信息提示"的窗口,模拟操作选中"不再显示此信息(&D)"点击"确定"按钮.查找窗口标题名为"雅虎助手广告拦截"的窗口,模拟操作选中"下次不显示此提示框"点击"确定"按钮.

不定时弹出窗口,网址内容大致是用作刷流量用的.

读取注册表 "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run" 下 "ccwl" 的值,判断是否与 "rundll32.exe %sys32dir%\ccwld16_080419.dll ccwl16" 相等,不相等则设置为 "rundll32.exe %sys32dir%\ccwld16_080419.dll ccwl16".

删除 %windir%\ccwl16.ini 文件 [old] 下 dll、dll32和exe 指向的文件.

创建 iexplore.exe 进程,通过调用 CreateRemoteThread 将病毒文件 %sys32dir%\ccwld32_080419.dll 注入至 iexplore.exe 的进程空间.注入成功会设置 %windir%\ccwl16.ini 文件 [ie] 下 run 的值为 ok.

创建批处理文件并执行(删除自身).