请输入您要查询的百科知识:

 

词条 Trojan.Spy.Win32.Pophot.bxg
释义

Trojan.Spy.Win32.Pophot.bxg病毒为木马。病毒运行后首先获取病毒体存放路径,路径获取成功后衍生病毒进程文件,调用内存中运行动态链接库的系统进程;创建病毒配置文件,运用系统API函数对配置文件进行逐条写入信息,记录病毒运行及更新后情况

病毒标签

病毒名称: Trojan-Spy.Win32.Pophot.bxg

病毒类型: 木马

文件 MD5: D41D279F1CDFA877CF89D188924CA4AA

公开范围: 完全公开

危害等级: 4

文件长度: 106,288 字节

感染系统: Windows98以上版本

开发工具: Borland Delphi 6.0 - 7.0

加壳类型: WinUpack 0.39 final -> By Dwing

病毒描述

再次利用系统特定API函数对病毒体的系统权限进行提升,然后遍历系统进程查找字符串如发现有卡巴斯基、瑞星卡卡上网助手、江民、360的进程就进行关闭;复制本体到系统目录下,并将复制的本体再次复制重新命名以.scr格式存放;衍生动态连接库文件,由病毒的进程进行加载监视以上的反病毒软件行为,模仿Button按钮操作,加载系统Shell相关应用程序接口动态链接库文件,后台开启Iexplorer.exe进程进行连接网络;修改注册表添加病毒启动项;病毒最后在系统根目录下创建批处理文件用以删除病毒本身文件。

行为分析

本地行为

1、 获取病毒存放路径,如若不存在则创建路径

c:\\WINDOWS\\

c:\\WINDOWS\\system\\

c:\\WINDOWS\\system32\\inf\\

其中c:\\WINDOWS\\为%Windir%\\;c:\\WINDOWS\\system\\%Windir%\\system\\

c:\\WINDOWS\\system32\\inf\\为%System32%\\inf\\

2、衍生病毒进程文件以svch0st.exe为名衍生到%System32%\\inf\\目录下,伪装svchost.exe进程,用以隐藏病毒;调用系统进程rundll32.exe,用于内存中运行动态连接库文件。

3、创建配置文件%Windir%\\zuoyu16.ini,用GetPrivateProfileStringA函数进行写入内容,用以病毒文件的加载,其连接网络失败内容如下:

[temp]

myf=e

[hitpop]

first=1

ver=080812

kv=0

[exe]

fn=C:\\WINDOWS\\system\\zayjhxpRes080812.exe

[exe_bak]

fn=C:\\WINDOWS\\system32\\inf\\scrsyszy080812.scr

[dll_hitpop]

fn=C:\\WINDOWS\\system32\\mwiszcyys32_080812.dll

[dll_start_bak]

fn=C:\\WINDOWS\\system32\\inf\\scrszyys16_080812.dll

[dll_start]

fn=C:\\WINDOWS\\system32\\lwizyy16_080812.dll

[sys]

bat=c:\\zyDelm.bat

[delete]

fn=

[ie]

run=no

[listion]

run=no

连接网络成功内容如下:

[temp]

myf=e

[hitpop]

first=1

ver=080816

kv=0

[exe]

fn=C:\\WINDOWS\\system\\zayjhxpRes080816.exe

[exe_bak]

fn=C:\\WINDOWS\\system32\\inf\\scrsyszy080816.scr

[dll_hitpop]

fn=C:\\WINDOWS\\system32\\mwiszcyys32_080816.dll

[dll_start_bak]

fn=C:\\WINDOWS\\system32\\inf\\scrszyys16_080816.dll

[dll_start]

fn=C:\\WINDOWS\\system32\\lwizyy16_080816.dll

[sys]

bat=c:\\zyDelm.bat

sj=1

[delete]

fn=

[ie]

run=ok

hwnd=983902

mgck=1

[listion]

run=no

[alexa]

right_tan88=ok

[ver]

type=2

[old]

dll=C:\\WINDOWS\\system32\\lwizyy16_080812.dll

dll_bak=C:\\WINDOWS\\system32\\inf\\scrszyys16_080812.dll

exe=C:\\WINDOWS\\system\\zayjhxpRes080812.exe

dll32=C:\\WINDOWS\\system32\\mwiszcyys32_080812.dll

可以看出由网络下载后的文件为原病毒的升级文件,通过逆向分析,升级文件并没有对原有的病毒进行根本上的改动。

病毒利用

LookupPrivilegeValueA和AdjustTokenPrivileges函数获得系统最高权限;遍历系统进程查找含有以下字符串的进程,如发现就强关闭,以及利用病毒进程模拟Button按钮操作进行放行,使得反病毒软件失效,查找字符串有:

avp.exe

RUNIEP.EXE

KRegEx.exe

KVXP.kxp

360tray.exe

复制自身

到%Windir%\\system\\zayjhxpRes080812.exe,并将zayjhxpRes080812.exe重命名为scrsyszy080812.scr以屏幕保护程序格式存放于%system32%\\inf\\目录下,用以迷惑用户为正常文件。

6、衍生动态链接库文件%system32%\\inf\\scrszyys16_080812.dll、%system32%\\inf\\lwizyy16_080812.dll和%system32%\\inf\\mwiszcyys32_080812.dll。其中scrszyys16_080816.dll为lwizyy16_080812.dll的备份文件。其中病毒进程svch0st.exe加载lwizyy16_080812.dll动态链接库,用以关闭杀软或者模仿按钮操作,其文件主要字符串如下:

e 执

允许执

规则

允许(&a)

跳过

(&s)

……

\\

民主

动防御

统监

控提示

……

瑞星卡卡上网

安全助手 – ie防

漏墙

……

avp.button

……

avp

.alertdialog

病毒进程

svch0.exe加载Windows壳Shell相关应用程序接口动态链接库文件shell32.dll,用于后台开启IEexpleore.exe进程,并将mwiszcyys32_080812.dll注入到该进程中,连接

测试网络是否接入因特网。如果网络畅通就连接以下地址

1)http://cjadmin.***.net/cc/list.htm(219.153.14.**:80)地址,返回加密内容,目的为下载

http://cjadmin.***.net/m/rs.exe(219.153.14.**:80)文件,而rs.exe就是病毒复制的自身文件zayjhxpRes080812.exe

2)向http://las****.com(209.162.178.**:80)网站

Password recovery solutions for Word, Excel, Access, Outlook, SQl, Quickbooks and more. Guaranteed password recovery!(在线破解office系列密码网站)返回信息,信息格式为aus.aspx?lv=1&p=RegSnap&v=1711&n=1217973821&x=&c=82d64a73

3)下载http://cjadmin.***.net/m/jkyx.exe(219.153.14.**:80)该病毒为Tojan-Downloader.Win32.Small.afei。

并向http://cjadmin.***.net(219.153.14.**:80)返回信息。信息格式为:

/cc/active.asp?ver=080816&userid=rs&userbh=&old=0&address=00-0C-29-51-66-64

7、 修改系统%Windir%\\win.ini文件,修改后内容如下:

for 16-bit app support

[fonts]

[extensions]

[mci extensions]

[files]

[Mail]

MAPI=1

[MCI Extensions.BAK]

aif=MPEGVideo

aifc=MPEGVideo

aiff=MPEGVideo

asf=MPEGVideo

asx=MPEGVideo

au=MPEGVideo

m1v=MPEGVideo

m3u=MPEGVideo

mp2=MPEGVideo

mp2v=MPEGVideo

mp3=MPEGVideo

mpa=MPEGVideo

mpe=MPEGVideo

mpeg=MPEGVideo

mpg=MPEGVideo

mpv2=MPEGVideo

snd=MPEGVideo

wax=MPEGVideo

wm=MPEGVideo

wma=MPEGVideo

wmv=MPEGVideo

wmx=MPEGVideo

wpl=MPEGVideo

wvx=MPEGVideo

[alexa]

right_tan88=ok

其中[alexa]项为由病毒添加,目的在系统启动时辅助病毒自启动。

8、系统目录下创建配置文件%system32%\\zuoyue32.ini,其内容为对IExplorer.exe的初始化:

[ie]

pm_time=50

pm_count=1

gg_count=1

gg_jg=60

sound=0

ys=90

dx_jg=60

9、 修改注册表添加在启动项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run\\

键值: zuoyue

字符串: "C:\\WINDOWS\\system32\\inf\\svch0st.exe C:\\WINDOWS\\system32\\lwizyy16_080812.dll zyd16"

描述:创建病毒启动项

10、 在系统跟目录下创建批处理文件,进程删除病毒本体,内容如下:

"C:\\WINDOWS\\system\\zayjhxpRes080812.exe" i

del %0

其中C:\\WINDOWS\\system目录为病毒运行的当前目录。

注释:

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动系统所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% 当前用户TEMP缓存变量;路径为:

%Documents and Settings%\\当前用户\\Local Settings\\Temp

%System32% 是一个可变路径;

病毒通过查询操作系统来决定当前System32文件夹的位置;

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32;

Windows95/98/Me中默认的安装路径是C:\\Windows\\System;

WindowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天防线或ATOOL中的“进程管理”关闭病毒进程 svch0st.exe和IExplorer.exe 。

(2) 强行删除病毒文件

%Windir% \\system\\zayjhxpRes080812.exe

%System32%\\inf\\scrsyszy080812.scr

%System32%\\inf\\scrszyys16_080812.dll

%System32%\\inf\\svch0st.exe

%System32%\\lwizyy16_080812.dll

%System32%\\mwiszcyys32_080812.dll

%Windir% \\zuoyu16.ini

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run\\

键值: zuoyue

字符串: "C:\\WINDOWS\\system32\\inf\\svch0st.exe C:\\WINDOWS\\system32\\lwizyy16_080812.dll zyd16"

描述:创建病毒启动项

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 13:37:05