病毒名称(中文):下载者Pophot病毒别名:威胁级别:★★☆☆☆病毒类型:木马下载器病毒长度:259416影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个下载者，下载的病毒有盗号的功能。该病毒运行后会立即修改系统时间，使依赖系统时间的杀软失效，然后开始进行更多的病毒下载工作。只要用户打开IE浏览器时，系统资源会被严重占用，此时便是病毒正在下载的症状。病毒的源文件也会自删除，使用户不能找到源文件。该病毒的症状明显，但是生成以及下载的病毒文件不轻易找出，广大用户需要注意。

病毒运行后，生成以下病毒文件

%temp%\\zsmstccj.bat

%temp%\\080131.exe

%temp%\\ie.ini

%windows%\\system32\\mcdsrv16_080119.dll

%windows%\\system32\\mcdsrv16_080131.dll

%windows%\\system32\\mcdsrv32_080119.dll

%windows%\\system32\\mcdsrv32_080131.dll

%windows%\\system32\\myiecfg.ini

%windows%\\system32\\ridiap080119.exe

%windows%\\system32\\ridiap080131.exe

2.该病毒运行后，凭着已经下载的病毒，在没有打开IE浏览器的时候，可以在任务管理器里看到有2-3个关于IE浏览器的进程，次现象是明显的病毒症状。

3.打开浏览器后，发现系统资源被严重占用，操作起来十分困难。当关闭浏览器时，次症状消失，从此可以看出病毒是挂在iexplore.exe进程下。

4.关闭浏览器，发现桌面竟然多了一个网页快捷方式，名字为"游戏金币点卡中心"，点击无任何反映，但是系统资源会再一次被占用。

5.通过一直在运行的伪装iexplore.exe进程，一直悄然的下载病毒到系统的临时文件夹下，不轻易让用户发现。

6.该文件运行完毕后，会自删除，使用户无法找到源文件。

7.该病毒会模拟键盘，获取用户输入的帐号信息，并且会下载IE插件并且自动关闭安全警报等功能。

8.自动添加病毒启动项zsms_check。

9.修改了系统时间为1987年，使依赖系统时间的杀软顿时失效。用户机器的安全性大大降低。

10.病毒会根据所下载的文本candown.txt里面的文本内容进行下载指定的病毒。