病毒查杀:AdWare.Win32.Ejik.ec

Simen.Resh@d

(作者：Greysign)

一、
病毒标签：

病毒名称：
AdWare.Win32.Ejik.ec
病毒类型：
恶意广告程序

文件大小 :	283140 byte
文件类型 :	MS-DOS executable (EXE), OS/2 or MS Windows
MD5 :	95c2c02b9b0db1045b4619334d91b58b
SHA1 :	4156b36bf8c62bd1fe7ac60200565b253bb7422b

公开范围：
完全公开
危害等级： D
开发工具： Borland Delphi 6.0 - 7.0

加壳类型： PECompact 2.x -> Jeremy Collake [Overlay]壳
命名对照：

金山毒霸

2007.6.20.249

2008.4.11

2008-04-11

Win32.Troj.RealmT.qy.430084

1.833

二、
病毒描述：

该程序为恶意广告程序，释放DLL文件至系统文件夹，并通过插入DLL至其他进程，实行刷网站流量。
三、
行为分析：

释放以下文件：


c:\WINDOWS\system32\dxusaxpylKZpl.dll

Date: 4-10-2008 7:16 PM

Size: 223,232 bytes

c:\WINDOWS\system32\resiifers.ini

Date: 4-10-2008 7:16 PM

Size: 83 bytes
添加启动项目：

HKEY_CLASSES_ROOT\CLSID\{FB3412B6-6D67-4650-B3B4-C2A90191A80F} "(Default)"

Type: REG_SZ

Data: C:\WINDOWS\system32\dxusaxpylkzpl.dll

HKEY_CLASSES_ROOT\CLSID\{FB3412B6-6D67-4650-B3B4-C2A90191A80F}\InprocServer32 "(Default)"

Type: REG_SZ

Data: C:\WINDOWS\system32\dxusaxpylkzpl.dll

HKEY_CLASSES_ROOT\CLSID\{FB3412B6-6D67-4650-B3B4-C2A90191A80F}\InprocServer32 "ThreadingModel"

Type: REG_SZ

Data: Apartment

HKEY_CLASSES_ROOT\CLSID\{FB3412B6-6D67-4650-B3B4-C2A90191A80F}\ProgID "(Default)"

Type: REG_SZ

Data: dxusaxpylkzpl.IEExtend

HKEY_CLASSES_ROOT\dxusaxpylkzpl.IEExtend "(Default)"

Type: REG_SZ

Data: C:\WINDOWS\system32\dxusaxpylkzpl.dll

HKEY_CLASSES_ROOT\dxusaxpylkzpl.IEExtend\Clsid "(Default)"

Type: REG_SZ

Data: {FB3412B6-6D67-4650-B3B4-C2A90191A80F}
用REGSVR32注册dxusaxpylkzpl.dll，使用该DLL进行刷流量。
连接以下地址读取：
http://www.info3344.cn/upsite.txt
http://www.web228.cn/gg/passdomain.txt
http://www.biz678.cn/SKlist.txt
http://www.biz678.cn/SearchImage.txt
http://www.biz678.cn/SearchKeyword.txt




解决方案：
删除文件：

c:\WINDOWS\system32\dxusaxpylkzpl.dll

c:\WINDOWS\system32\resiifers.ini
用HOSTS文件屏蔽：www.biz678.cn，www.web228.cn，www.info3344.cn
删除启动项目：
HKEY_CLASSES_ROOT\CLSID\{FB3412B6-6D67-4650-B3B4-C2A90191A80F}


注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

A级
大面积感染流行，并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积，或者有鲜明的技术特点值得进一步关注，或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行，或虽然有一定感染流行面积，但是既往B级蠕虫变种。
D级
有极少量感染流行，但有一定潜在威胁。
E级
没有发现感染流行。