病毒大百科

这个病毒是win32.Troj.WeHit.397312木马的组成部分。eHit家族木马分工明确，除了传统下载器功能以外，还有广告软件功能，会在后台访问指定网站刷流量信息。

1.读取win32.Troj.WeHit.397312木马释放在系统目录下的%windir\ccwl16.ini文件,其记录了一些成功释放到系统中的文件名及路径等信息。

2.在文件夹X:\Documents and Settings\All Users\「开始」菜单\程序\启动下创建快捷方式msword，指向"我的电脑";

3.查找系统内是否存在杀软提示病毒或木马窗口窗口，如存在这些窗口则模拟鼠标按键消息放行，并关闭窗口。

4.木马到指定地址http://www.chch17.com.cn/list.htm下载文件，保存为%Temp%\ccwlie.htm,该文件是木马下载地址列表文件，通过该列表下载新木马。

5.将自身注册为BHO随IE启动：
hklm\software\microsoft\windows\currentversion\explorer\browser helper objects\
{f1fabe79-25fc-46de-8c5a-2c6db9d64333}；

6.后台访问指定站点刷流量，并收集用户机器mac地址等信息，修改IE主页。