Trojan-Spy.Win32.Pophot.chm分析
一、 病毒标签:病毒名称: Trojan-Spy.Win32.Pophot.chm
病毒类型: 间谍木马
文件 MD5: C864A46909303F17C819BFEA1AED2888
公开范围: 完全公开
危害等级: 4
文件长度: 127,156 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: WinUpack 0.39 final -> By Dwing
二、 病毒描述:
该病毒为间谍类木马,病毒运行后查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息,获取进程句丙修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,遍历进程查找avp.exe,找到该进程后将系统时间设置为1987年,在%System32%\目录下建立文件夹inf并拷贝%System32%\目录下的rundll32.exe到inf目录下重命名为svchost.exe,衍生病毒文件wftadfi16_080908a.dll、dcbdcatys32_080908a.dll(该病毒文件为查找雅虎和IE保护选项的窗口,并按提示做出相对的回应)到%Windir%目录下,衍生病毒文件sppdcrs080908.scr(该文件为病毒自身)、scsys16_080908.dll(该文件模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许)到%System32%\inf目录下,添加注册表启动项目使用rundll32.exe加载病毒DLL文件,并在%Windir%目录下创建配置文件tawisys.ini存放衍生的病毒路径,衍生mywfhit.ini到System32目录下mywfhit.ini文件记录病毒更新情况,病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件,病毒全部为随机病毒名
%system32%\inf\svchoct.exe
%system32%\inf\sppdcrs080908.scr
%system32%\inf\scsys16_080908.dll
%system%\sgcxcxxaspf080908.exe
%system32%\mywfhit.ini
%system32%\tmpacj0.exe
%Windir%\tawisys.ini
%Windir%\wftadfi16_080908a.dll
%Windir%\dcbdcatys32_080908a.dll
2、修改注册表项,改变桌面显示设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\minyust
值: 字符串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080908a.dll tan16d"描述:使用rundll32.exe加载病毒DLL文件
3、找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息,获取进程句丙修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd.exe -c q -p命令强行关闭
4、遍历进程查找avp.exe,找到该进程后将系统时间设置为1987年, 查找雅虎和IE保护选项的窗口,并按提示做出相对的回应, 模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许, 使用rundll32.exe加载病毒DLL文件, 病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身
网络行为:
连接以下网站下载病毒文件
http://www.l****.cn/01/list.htm (读取该地址的加密内容,加密内容为病毒EXE下载地址)
http://www.l****.cn/lkmoj.exe (连接解密后的地址下载病毒文件到本地更新自身)
注:下载的病毒文件为病毒更新文件,更新自身
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”找到iexplore.exe进程关闭该进程,找到inf目录下的svchost.exe进程将其进程结束
(2) 删除注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polic ies\Explorer\run\minyust
值: 字符串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080908a.dll tan16d"
(3)删除病毒添加的注册表启动项
%system32%\inf\svchoct.exe
%system32%\inf\sppdcrs080908.scr
%system32%\inf\scsys16_080908.dll
%system%\sgcxcxxaspf080908.exe
%system32%\mywfhit.ini
%system32%\tmpacj0.exe
%Windir%\tawisys.ini
%Windir%\wftadfi16_080908a.dll
%Windir%\dcbdcatys32_080908a.dll
或打开%Windir%\目录下的tawisys.ini文件,按病毒绝对路径将病毒文件全部删除
页:
[1]