一、 病毒标签：
病毒名称： Backdoor.Win32.Popwin.amz
病毒类型： 后门
文件 MD5：d1b2900d63e23406bdb3ee3aea430d8a
公开范围： 完全公开
危害等级： C
文件长度： 18.0 KB (18,477 字节)
开发工具： Microsoft Visual Basic 5.0 - 6.0
加壳类型： NSPACK壳
命名对照： 
安博士V3  Win32/Autorun.worm.18477 1.005
江民杀毒  Backdoor/Popwin.l 1.059
熊猫卫士  Adware/Alexa         2.732

二、 病毒描述：
该病毒为后门程序。

三、 行为分析：
连接网络并下载：
http://nx.51ylb.cn/e47e57844ef30ab4.exe
增加启动项目：
HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\3CAAB5F8
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\3CAAB5F8
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\3CAAB5F8
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\3CAAB5F8
3CAAB5F8为随机字符。
释放文件：
 *:\auto.exe
  Date: 11-14-2007 9:09 PM
  Size: 18,477 bytes
 *:\autorun.inf
  Date: 11-21-2007 7:35 PM
  Size: 78 bytes

 c:\WINDOWS\system32\1AB63D90.EXE
  Date: 11-14-2007 9:09 PM
  Size: 18,477 bytes
 c:\WINDOWS\system32\CA2940C8.DLL
  Date: 11-21-2007 7:35 PM
  Size: 40,960 bytes
1AB63D90.EXE与CA2940C8.DLL为随机字符。

解决方案：
删除注册表启动项目(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：
HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\3CAAB5F8
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\3CAAB5F8
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\3CAAB5F8
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\3CAAB5F8
删除文件(如遇提示无法删除文件，到down.45its.com下载费尔木马强制删除器工具进行强制删除)：
*:\auto.exe 
*:\autorun.inf
c:\WINDOWS\system32\1AB63D90.EXE
c:\WINDOWS\system32\CA2940C8.DLL

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
A级
大面积感染流行，并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积，或者有鲜明的技术特点值得进一步关注，或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行，或虽然有一定感染流行面积，但是既往B级蠕虫变种。
D级
有极少量感染流行，但有一定潜在威胁。
E级
没有发现感染流行。