病毒别名： 处理时间：2007-04-12 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个广告木马,在弹出广告的同时还会下载其它的广告程序,同时还会

收集用户的信息.

1:病毒加载

病毒以BHO的形式加载到Internet Explorer里面

2:弹出广告

病毒会不定时的弹出广告程序,广告程序下载地址:

http://sm.*****.cn/ad/ADShow.aspx?ADID=

http://dk.****.cn/ADShow.asp?id=

=号后的数字为广告的ID号

3:收集用户搜索习惯,弹出相应的广告

病毒会收集用户在以下几个搜索引擎的关键字:

google

yahoo

soso

163.com

sogou

并根据关键字弹出相应的广告

http://sm.*****.cn/ad/ADService.asmx/GetADCode?KeyWord=

4:自更新与下载其它广告

程序会访问以下地址:

http://up.*****.cn/software/update.txt

得到相应的信息,如:

[PlugList]

Url=http://up.*****.cn/software/pluglist.xml

[Download]

Ver=5

Key=2

ic=1

URL=http://up.*****.cn/software/drwtsm32.exe,0,2,W,NULL

Ocx=http://up.*****.cn/software/QQIEHelper.dll,S,3,1,NULL

[ADShowCount]

ShowCount=1

[DownInfo]

SelfUpdate=0

[OpenTime]

LastOpen=

Between=60

pluglist.xml为其它广告程序的下载页面

drwtsm32.exe为另一个广告下载器

QQIEHelper.dll为程序的自更新

ShowCount,LastOpen,Between为广告程序的参数

病毒还会通过http://sm.*****.cn/ad/ADService.asmx/GetParameter?得到弹广告的参数,

弹出不同种类的广告窗口.

5:发送广告

病毒会寻找QQ的交谈窗口，并发送广告信息。