Trojan.Spy.Win32.Pophot.chm_在线百科全书查询
Trojan.Spy.Win32.Pophot.chm
病毒名称: Trojan-Spy.Win32.Pophot.chm,病毒类型: 间谍木马,文件 MD5: C864A46909303F17C819BFEA1AED2888,公开范围: 完全公开,危害等级: 4,文件长度: 127,156 字节,感染系统: Windows98以上版本,开发工具: Borland Delphi 6.0 - 7.0,加壳类型: WinUpack 0.39 final -> By Dwing.
病毒描述
该病毒为间谍类木马,病毒运行后查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息,获取进程句丙修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,遍历进程查找avp.exe,找到该进程后将系统时间设置为1987年,在%System32%\\目录下建立文件夹inf并拷贝%System32%\\目录下的rundll32.exe到inf目录下重命名为svchost.exe,衍生病毒文件wftadfi16_080908a.dll、dcbdcatys32_080908a.dll(该病毒文件为查找雅虎和IE保护选项的窗口,并按提示做出相对的回应)到%Windir%目录下,衍生病毒文件sppdcrs080908.scr(该文件为病毒自身)、scsys16_080908.dll(该文件模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许)到%System32%\\inf目录下,添加注册表启动项目使用rundll32.exe加载病毒DLL文件,并在%Windir%目录下创建配置文件tawisys.ini存放衍生的病毒路径,衍生mywfhit.ini到System32目录下mywfhit.ini文件记录病毒更新情况,病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。
行为分析
本地行为
1、文件运行后会释放以下文件,病毒全部为随机病毒名
%system32%\\inf\\svchoct.exe
%system32%\\inf\\sppdcrs080908.scr
%system32%\\inf\\scsys16_080908.dll
%system%\\sgcxcxxaspf080908.exe
%system32%\\mywfhit.ini
%system32%\\tmpacj0.exe
%Windir%\\tawisys.ini
%Windir%\\wftadfi16_080908a.dll
%Windir%\\dcbdcatys32_080908a.dll
2、修改注册表项,改变桌面显示设置
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run\\minyust
值: 字符串: "C:\\WINDOWS\\system32\\inf\\svchoct.exe C:\\WINDOWS\\wftadfi16_080908a.dll tan16d"
描述:使用rundll32.exe加载病毒DLL文件。
3、找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息,获取进程句丙修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd.exe -c q -p命令强行关闭。
4、遍历进程查找avp.exe,找到该进程后将系统时间设置为1987年,查找雅虎和IE保护选项的窗口,并按提示做出相对的回应,模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许,使用rundll32.exe加载病毒DLL文件,病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。
网络行为
连接以下网站下载病毒文件
http://www.l****.cn/01/list.htm (读取该地址的加密内容,加密内容为病毒EXE下载地址)
http://www.l****.cn/lkmoj.exe (连接解密后的地址下载病毒文件到本地更新自身)
注:下载的病毒文件为病毒更新文件,更新自身。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \\Documents and Settings
\\当前用户\\Local Settings\\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\\Winnt\\System32
windows95/98/me中默认的安装路径是C:\\Windows\\System
windowsXP中默认的安装路径是%system32%
清除方案
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理找到iexplore.exe进程关闭该进程,找到inf目录下的svchost.exe进程将其进程结束。
(2) 删除注册表启动项
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\polic ies\\Explorer\\run\\minyust
值: 字符串: "C:\\WINDOWS\\system32\\inf\\svchoct.exe C:\\WINDOWS\\wftadfi16_080908a.dll tan16d"
(3) 删除病毒添加的注册表启动项
%system32%\\inf\\svchoct.exe
%system32%\\inf\\sppdcrs080908.scr
%system32%\\inf\\scsys16_080908.dll
%system%\\sgcxcxxaspf080908.exe
%system32%\\mywfhit.ini
%system32%\\tmpacj0.exe
%Windir%\\tawisys.ini
%Windir%\\wftadfi16_080908a.dll
%Windir%\\dcbdcatys32_080908a.dll
或打开%Windir%\\目录下的tawisys.ini文件,按病毒绝对路径将病毒文件全部删除
