flyleaf 发表于 2008-8-22 17:14

Trojan-Spy.Win32.Pophot.bxg分析

一、病毒标签:
病毒名称: Trojan-Spy.Win32.Pophot.bxg
病毒类型: 木马
文件 MD5: D41D279F1CDFA877CF89D188924CA4AA
公开范围: 完全公开
危害等级: 4
文件长度: 106,288 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: WinUpack 0.39 final -> By Dwing

二、病毒描述:

该病毒为木马。病毒运行后首先获取病毒体存放路径,路径获取成功后衍生病毒进程文件,调用内存中运行动态链接库的系统进程;创建病毒配置文件,运用系统API函数对配置文件进行逐条写入信息,记录病毒运行及更新后情况;再次利用系统特定API函数对病毒体的系统权限进行提升,然后遍历系统进程查找字符串如发现有卡巴斯基、瑞星卡卡上网助手、江民、360的进程就进行关闭;复制本体到系统目录下,并将复制的本体再次复制重新命名以.scr格式存放;衍生动态连接库文件,由病毒的进程进行加载监视以上的反病毒软件行为,模仿Button按钮操作,加载系统Shell相关应用程序接口动态链接库文件,后台开启Iexplorer.exe进程进行连接网络;修改注册表添加病毒启动项;病毒最后在系统根目录下创建批处理文件用以删除病毒本身文件。

三、行为分析:

1、 获取病毒存放路径,如若不存在则创建路径
c:\WINDOWS\
c:\WINDOWS\system\
c:\WINDOWS\system32\inf\
其中c:\WINDOWS\为%Windir%\;c:\WINDOWS\system\%Windir%\system\
c:\WINDOWS\system32\inf\为%System32%\inf\
2、 衍生病毒进程文件以svch0st.exe为名衍生到%System32%\inf\目录下,伪装svchost.exe进程,用以隐藏病毒;调用系统进程rundll32.exe,用于内存中运行动态连接库文件。
3、 创建配置文件%Windir%\zuoyu16.ini,用GetPrivateProfileStringA函数进行写入内容,用以病毒文件的加载,其连接网络失败内容如下:
   
myf=e

first=1
ver=080812
kv=0

fn=C:\WINDOWS\system\zayjhxpRes080812.exe

fn=C:\WINDOWS\system32\inf\scrsyszy080812.scr

fn=C:\WINDOWS\system32\mwiszcyys32_080812.dll

fn=C:\WINDOWS\system32\inf\scrszyys16_080812.dll

fn=C:\WINDOWS\system32\lwizyy16_080812.dll

bat=c:\zyDelm.bat

fn=

run=no

run=no
连接网络成功内容如下:

myf=e

first=1
ver=080816
kv=0

fn=C:\WINDOWS\system\zayjhxpRes080816.exe

fn=C:\WINDOWS\system32\inf\scrsyszy080816.scr

fn=C:\WINDOWS\system32\mwiszcyys32_080816.dll

fn=C:\WINDOWS\system32\inf\scrszyys16_080816.dll

fn=C:\WINDOWS\system32\lwizyy16_080816.dll

bat=c:\zyDelm.bat
sj=1

fn=

run=ok
hwnd=983902
mgck=1

run=no

right_tan88=ok

type=2

dll=C:\WINDOWS\system32\lwizyy16_080812.dll
dll_bak=C:\WINDOWS\system32\inf\scrszyys16_080812.dll
exe=C:\WINDOWS\system\zayjhxpRes080812.exe
dll32=C:\WINDOWS\system32\mwiszcyys32_080812.dll
可以看出由网络下载后的文件为原病毒的升级文件,通过逆向分析,升级文件并没有对原有的病毒进行根本上的改动。
4、 病毒利用LookupPrivilegeValueA和AdjustTokenPrivileges函数获得系统最高权限;遍历系统进程查找含有以下字符串的进程,如发现就强关闭,以及利用病毒进程模拟Button按钮操作进行放行,使得反病毒软件失效,查找字符串有:
avp.exe
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
360tray.exe
5、 复制自身到%Windir%\system\zayjhxpRes080812.exe,并将zayjhxpRes080812.exe重命名为scrsyszy080812.scr以屏幕保护程序格式存放于%system32%\inf\目录下,用以迷惑用户为正常文件
6、 衍生动态链接库文件%system32%\inf\scrszyys16_080812.dll、%system32%\inf\lwizyy16_080812.dll和%system32%\inf\mwiszcyys32_080812.dll。其中scrszyys16_080816.dll为lwizyy16_080812.dll的备份文件。
其中病毒进程svch0st.exe加载lwizyy16_080812.dll动态链接库,用以关闭杀软或者模仿按钮操作,其文件主要字符串如下:
e 执



允许执







规则


允许(&a)


跳过
(&s)






……







\n\n
















民主
动防御


统监
控提示
……
瑞星卡卡上网
安全助手 – ie防
漏墙
……
avp.button
……
avp
.alertdialog
病毒进程svch0.exe加载Windows壳Shell相关应用程序接口动态链接库文件shell32.dll,用于后台开启IEexpleore.exe进程,并将mwiszcyys32_080812.dll注入到该进程中,连接http://www.baidu.com
http://www.baidu.com/img/baidu_****.gif测试网络是否接入因特网。如果网络畅通就连接以下地址
1)http://cjadmin.***.net/cc/list.htm(219.153.14.**:80)地址,返回加密内容,目的为下载
http://cjadmin.***.net/m/rs.exe(219.153.14.**:80)文件,而rs.exe就是病毒复制的自身文件zayjhxpRes080812.exe
2)向http://las****.com(209.162.178.**:80)网站
Password recovery solutions for Word, Excel, Access, Outlook, SQl, Quickbooks and more. Guaranteed password recovery!(在线破解office系列密码网站)返回信息,信息格式为aus.aspx?lv=1&p=RegSnap&v=1711&n=1217973821&x=&c=82d64a73
3)下载http://cjadmin.***.net/m/jkyx.exe(219.153.14.**:80)该病毒为Tojan-Downloader.Win32.Small.afei。
并向http://cjadmin.***.net(219.153.14.**:80)返回信息。信息格式为:
/cc/active.asp?ver=080816&userid=rs&userbh=&old=0&address=00-0C-29-51-66-64
7、 修改系统%Windir%\win.ini文件,修改后内容如下:
    ; for 16-bit app support





MAPI=1

aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo

right_tan88=ok
其中项为由病毒添加,目的在系统启动时辅助病毒自启动。
8、 系统目录下创建配置文件%system32%\zuoyue32.ini,其内容为对IExplorer.exe的初始化:
   
pm_time=50
pm_count=1
gg_count=1
gg_jg=60
sound=0
ys=90
dx_jg=60
9、 修改注册表添加在启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
键值: zuoyue
字符串: "C:\WINDOWS\system32\inf\svch0st.exe C:\WINDOWS\system32\lwizyy16_080812.dll zyd16"
描述:创建病毒启动项
10、 在系统跟目录下创建批处理文件,进程删除病毒本体,内容如下:
    "C:\WINDOWS\system\zayjhxpRes080812.exe" i
del %0
   其中C:\WINDOWS\system目录为病毒运行的当前目录。
注释:
%Windir%      WINDODWS所在目录
%DriveLetter%    逻辑驱动器根目录
%ProgramFiles%    系统程序默认安装目录
%HomeDrive%      当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp%      当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%   是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是C:\Windows\System;
WindowsXP中默认的安装路径是C:\Windows\System32。

四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天防线2008或ATool中的“进程管理”关闭病毒进程
关闭svch0st.exe和IExplorer.exe进程
(2) 强行删除病毒文件
%Windir% \system\zayjhxpRes080812.exe
%System32%\inf\scrsyszy080812.scr
%System32%\inf\scrszyys16_080812.dll
%System32%\inf\svch0st.exe
%System32%\lwizyy16_080812.dll
%System32%\mwiszcyys32_080812.dll
%Windir% \zuoyu16.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
键值: zuoyue
字符串: "C:\WINDOWS\system32\inf\svch0st.exe C:\WINDOWS\system32\lwizyy16_080812.dll zyd16"
描述:创建病毒启动项
页: [1]
查看完整版本: Trojan-Spy.Win32.Pophot.bxg分析