出处:cnbeta
“POPHOT点击器变种 103284”(Win32.Troj.Pophot.103284),这是一个具有盗号木马功能的广告病毒.它会弹出广告、修改IE 主页,还会窃取本地保存的 Internet Explorer, Outlook Express 和 MSN Explorer 密码.病毒会在非系统盘中生成AUTO病毒文件,并尝试关闭一些安全软件,以便能下载病毒到本地运行.
一、“POPHOT点击器变种103284”(Win32.Troj.Pophot.103284) 威胁级别:★★
病毒进入电脑系统后,在系统盘中释放出六个病毒文件,分别是%windows%\ system32\目录下的winsys16_071031.dll、winsys32_071031.dll、AlxRes071031.exe文件, %windows%\system32\inf\目录下的scrsys071031.scr、scrsys16_071031.dll文件,以及% windows%目录下的mwinsys.ini文件.然后,病毒就建立一个批处理程序myDelm.bat 来删除自己的源文件,以避免用户发现.接着,病毒修改注册表启动项,把自己的相关信息加入其中,达到随系统自动启动之目的.
开始运行后,病毒会以最快的速度检查系统中已安装的安全软件,如发现它们试图弹出警告框提醒用户系统正遭受入侵,就会立刻模拟鼠标点击允许按钮来屏蔽提示和警告,给自己争取到下一步行动的时间.紧接着,它搜索卡巴斯基、360 安全卫士、瑞星、江民等安全软件厂商的产品,并尝试把它们强行关闭.
然后,病毒修改IE浏览器、百度工具条、GOOGLE 工具条、雅虎助手等工具的数据,把大量广告网站、以及含毒网站的信息加入它们的白名单,同时在桌面和收藏夹中生成这些网站的快捷方式,诱使用户点击.它还会试图通过枚举数值的方法来获取用户保存在本机的Internet Explorer、Outlook、MSN的密码.
此外,该病毒还会在所有非系统盘中生成 AUTO病毒文件AUTORUN.INF,只要用户双击打开磁盘,病毒就会被再次激活.此后,如果用户在中毒电脑上使用U盘等移动存储器,病毒就会立即将其传染.
二、“杀软封印下载器”(Win32.Troj.Autorun.56832) 威胁级别:★★
病毒运行后,会在系统盘的%windows%\system32\目录下释放出病毒文件TxHMoU.Exe,并在全部的磁盘分区中生成AUTO病毒文件AUToRUN.Inf和soS.Exe.只要用户双击打开含毒磁盘,病毒就会立刻被激活.如果用户在这台电脑上使用U盘等移动存储器,病毒也会立即将其传染,以扩大自己的势力范围.
随后,病毒修改注册表,将自己的相关信息加入其中,达到随系统自启动之目的,并连接病毒作者指定的网址
http://1**.10.1**.1*6,下载最新的病毒配置文件.同时,病毒还会修改注册表的其它部分,禁用任务管理器、禁止自动升级、禁止显示隐藏文件、修改IE主页、禁止用户修改IE主页……经过一番“手术”后,用户的操作将变得极为不便,而且当用户试图访问任何与杀毒及系统安全有关的网页时,IE浏览器就会被立刻强行关闭,而病毒却可以畅通无阻的下载大量病毒到用户系统中运行,给用户造成巨大的损失.
