安天实验室9月12日病毒预警

安天实验室9月12日病毒预警
出处：安天实验室 时间：2008年9月12日
  
一、“昊阗chm”（Trojan-Spy.Win32.Pophot.chm） 威胁级别：★★★★
    该病毒为间谍类木马，病毒运行后查找CabinetWClass类名的窗口，找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并且在该窗口捕获消息，获取进程句柄修改访问权限，如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭，遍历进程查找avp.exe，找到该进程后将系统时间设置为1987年，在%System32%\目录下建立文件夹inf并拷贝%System32%\目录下的rundll32.exe到inf目录下重命名为svchost.exe，衍生病毒文件wftadfi16_080908a.dll、dcbdcatys32_080908a.dll（该病毒文件为查找雅虎和IE保护选项的窗口，并按提示做出相对的回应）到%Windir%目录下，衍生病毒文件sppdcrs080908.scr（该文件为病毒自身）、scsys16_080908.dll（该文件模拟鼠标点击操作以达到躲避病毒安全软件的主动提示，模拟点击操作为允许）到%System32%\inf目录下，添加注册表启动项目使用rundll32.exe加载病毒DLL文件，并在%Windir%目录下创建配置文件tawisys.ini存放衍生的病毒路径，衍生mywfhit.ini到System32目录下mywfhit.ini文件记录病毒更新情况，病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。


二、“木马下载者”（Trojan-Downloader.Win32.Small.wfe） 威胁级别：★★★
    该病毒为下载者木马类，病毒运行后创建互斥量MICK_DOWNLOAD_MUTEX，目的防止多次运行，在%Windir%下创建目录名为：Nt_File_Temp，并释放BAT批处理文件执行，提升在%system32%\dllcache文件夹、%system32%\dllcache\explorer.exe、E:\NBMSClient\HardwareInfo.exe（网维大师相关程序）、%Windir%\explorer.exe文件到系统当前用户完全控制权限，连接网络读取列表下载大量恶意文件，下载的文件多数为盗号木马类病毒，给用户清理带来非常大的不便。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年9月12日的病毒库即可查杀以上病毒；如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。