日期:2008-04-25
病毒名称:Trojan.Clicker.Win32.PopHot.dsw(POPHOT点击器变种DSW)
病毒类型:木马
危害指数:3
传播途径:网站
传播平台:Windows XP, Windows NT, Windows Server 2003, Windows 2000
病毒简介:
该程序是一个木马病毒。运行后病毒将自身复制到系统目录下,并释放多个病毒文件。并且,病毒会注入到系统正常进程,试图关闭多种主流杀毒软件和安全工具,以及把自身添加到防火墙信任列表,以此躲避防火墙在病毒刷新页面时的拦截。病毒还会利用浏览器频繁地刷新页面并点击页面广告等,使用户上网和计算机运行速度缓慢甚至死机,同时也造成用户宽带流量的极大浪费。
病毒行为分析:
病毒运行后,先把自己复制到System路径下,然后在System32文件夹下创建inf文件夹并释放病毒文件zyxpRes080302.exe和mwiszyys32_080302.dll,最后再System32文件夹下释放病毒动态库mwiszyys32_080302.dll。
mwiszyys32_080302.dll用来反杀毒软件,该动态库会被注入到Iexplorer.exe进程中,动态库被加载后会查找进程中是否存在KRegEx.exe、KVXP.kxp、360tray.exe 等杀毒软件进程,如果发现则结束该进程。
mwiszyys32_080302.dll会被注入到Rundll32.exe进程中,动态库被加载后会把自己添加到防火墙的信任列表中,使得自己访问网站时不会被防火墙阻拦。
墨者安全专家建议:
1.请开启墨者安全专家的“革离术”并根据提示创建安全用户,在安全用户下将获得墨者安全专家的实时防护,根据“革离术”特有的技术,判定为正常软件,给予默认放行。将陌生的的程序,提示给用户,然后用户自行进行判断,将识别的恶意程序,给予“革离”使其失去运行的环境无法造成对系统的侵害。
2.建议已安装其他杀毒软件的用户,下载并安装墨者安全专家版,并开启“革离术”保护自己的杀毒软件,和其它计算机安全软件不会被此病毒所关掉或破坏。以保障所使用的计算机安全防护软件能正常的运行和所有功能的正常使用。
3.点击墨者安全专家控制台——选择漏洞补丁——选择禁止优盘光驱自动运行。
4.请开启墨者安全专家的“革离术”进行实时防护,并使用系统安全漏洞中心,检查系统漏洞,发现漏洞请点击“修复”完成漏洞修补。
5.喜欢玩网络游戏、利用QQ聊天的用户,建议一定要养成良好的网络使用习惯,及时开启防火墙监控功能,切断病毒传播的途径,不给病毒以可乘之机。
6.保持使用墨者安全豪华版套装中的正版趋势反病毒专家,进行对系统病毒经常扫描的习惯,发现病毒或者隐患及时清除。
7.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启,保持自动更新为最新病毒库,保证病毒及木马的及时发现及清除。