最近具有对抗杀毒软件能力的木马下载器又开始出现增多迹象。本篇预警播报中的病毒就是一个对抗型下载器。它和它的若干变种频繁出现于网络中。

病毒进入电脑后，释放文件ccwlae080420.exe、ccwld32_080420.dll、ccwld16_080420.dll到%WINDOWS%\system32\目录中。如释放成功，则在文件%WINDOWS%目录下生成一个ccwl16.ini文件，并在其中记录相关信息。

病毒利用映像劫持技术，修改注册表，使目前市面上常见的多款杀毒软件瘫痪，并加载之前释放出的dll文件，修改IE浏览器的默认首页，使得用户在启动IE时，会被引导到病毒作者指定的网站。同时，病毒建立远程连接，下载大量的盗号木马。

该毒以及它所下载的木马，都会被毒霸完全清楚，已安装毒霸的用户可以放心。
win32.Troj.WeHit.397312
病毒名称(中文):劫持者下载器397312病毒别名:威胁级别:★★☆☆☆病毒类型:偷密码的木马病毒长度:92272影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个木马下载器程序。运行后会就破坏一些常见杀毒软件的正常运行，然后到指定地址下载其它木马等。它还会修改IE浏览器的默认页面。

1.复制自身为%windir%\system32\ccwlae080420.exe,
释放以下文件:
%windir%\system32\ccwld32_080420.dll,
%windir%\system32\ccwld16_080420.dll
如成功释放以上文件，则在文件%windir%\ccwl16.ini中记录相关信息。

2.利用映像劫持技术修改注册表使以下安全工具无法运行：
HKLM\software\microsoft\windows nt\CurrentVersion\Image File Execution Options
RUNIEP.exe,kregex.exe,kvxp.kxp,360tray.exe,avp.exe。

3.在注册表如下位置创建启动项加载病毒释放的dll文件: HKLM\software\microsoft\windows\CurrernVersion\Policies\Explorer\Run,
“ccwl”=rundll32.exe %Windir%\system32\ccwld16.dll ccwl16。

4.利用rundll32.exe加载病毒释放文件ccwld16.dll，调用指定函数ccwl16，病毒在系统内查找是否存在常用杀软报警窗口，如存在模拟鼠标按键消息放行，并加载文件ccwld32_080420.dll，该dll会修改IE主页，并到指定地址下载盗号木马。

5.在c盘根目录下是释放bat文件并运行，删除病毒原文件。

ccwl32.ini ccwlae080420.exe ccwld16_080420.dll，ccwld32_080420.dll
© 2007 Kingsoft Corp.