病毒大百科

这是一个木马下载器程序。运行后会就破坏一些常见杀毒软件的正常运行，然后到指定地址下载其它木马等。它还会修改IE浏览器的默认页面。

1.复制自身为%windir%\system32\ccwlae080420.exe,
释放以下文件:
%windir%\system32\ccwld32_080420.dll,
%windir%\system32\ccwld16_080420.dll
如成功释放以上文件，则在文件%windir%\ccwl16.ini中记录相关信息。

2.利用映像劫持技术修改注册表使以下安全工具无法运行：
HKLM\software\microsoft\windows nt\CurrentVersion\Image File Execution Options
RUNIEP.exe,kregex.exe,kvxp.kxp,360tray.exe,avp.exe。

3.在注册表如下位置创建启动项加载病毒释放的dll文件: HKLM\software\microsoft\windows\CurrernVersion\Policies\Explorer\Run,
"ccwl"=rundll32.exe %Windir%\system32\ccwld16.dll ccwl16。

4.利用rundll32.exe加载病毒释放文件ccwld16.dll，调用指定函数ccwl16，病毒在系统内查找是否存在常用杀软报警窗口，如存在模拟鼠标按键消息放行，并加载文件ccwld32_080420.dll，该dll会修改IE主页，并到指定地址下载盗号木马。

5.在c盘根目录下是释放bat文件并运行，删除病毒原文件。