词条 | Trojan.Spy.Win32.Pophot.bxg |
释义 | Trojan.Spy.Win32.Pophot.bxg病毒为木马。病毒运行后首先获取病毒体存放路径,路径获取成功后衍生病毒进程文件,调用内存中运行动态链接库的系统进程;创建病毒配置文件,运用系统API函数对配置文件进行逐条写入信息,记录病毒运行及更新后情况 病毒标签病毒名称: Trojan-Spy.Win32.Pophot.bxg 病毒类型: 木马 文件 MD5: D41D279F1CDFA877CF89D188924CA4AA 公开范围: 完全公开 危害等级: 4 文件长度: 106,288 字节 感染系统: Windows98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: WinUpack 0.39 final -> By Dwing 病毒描述再次利用系统特定API函数对病毒体的系统权限进行提升,然后遍历系统进程查找字符串如发现有卡巴斯基、瑞星卡卡上网助手、江民、360的进程就进行关闭;复制本体到系统目录下,并将复制的本体再次复制重新命名以.scr格式存放;衍生动态连接库文件,由病毒的进程进行加载监视以上的反病毒软件行为,模仿Button按钮操作,加载系统Shell相关应用程序接口动态链接库文件,后台开启Iexplorer.exe进程进行连接网络;修改注册表添加病毒启动项;病毒最后在系统根目录下创建批处理文件用以删除病毒本身文件。 行为分析本地行为1、 获取病毒存放路径,如若不存在则创建路径 c:\\WINDOWS\\ c:\\WINDOWS\\system\\ c:\\WINDOWS\\system32\\inf\\ 其中c:\\WINDOWS\\为%Windir%\\;c:\\WINDOWS\\system\\%Windir%\\system\\ c:\\WINDOWS\\system32\\inf\\为%System32%\\inf\\ 2、衍生病毒进程文件以svch0st.exe为名衍生到%System32%\\inf\\目录下,伪装svchost.exe进程,用以隐藏病毒;调用系统进程rundll32.exe,用于内存中运行动态连接库文件。 3、创建配置文件%Windir%\\zuoyu16.ini,用GetPrivateProfileStringA函数进行写入内容,用以病毒文件的加载,其连接网络失败内容如下: [temp] myf=e [hitpop] first=1 ver=080812 kv=0 [exe] fn=C:\\WINDOWS\\system\\zayjhxpRes080812.exe [exe_bak] fn=C:\\WINDOWS\\system32\\inf\\scrsyszy080812.scr [dll_hitpop] fn=C:\\WINDOWS\\system32\\mwiszcyys32_080812.dll [dll_start_bak] fn=C:\\WINDOWS\\system32\\inf\\scrszyys16_080812.dll [dll_start] fn=C:\\WINDOWS\\system32\\lwizyy16_080812.dll [sys] bat=c:\\zyDelm.bat [delete] fn= [ie] run=no [listion] run=no 连接网络成功内容如下: [temp] myf=e [hitpop] first=1 ver=080816 kv=0 [exe] fn=C:\\WINDOWS\\system\\zayjhxpRes080816.exe [exe_bak] fn=C:\\WINDOWS\\system32\\inf\\scrsyszy080816.scr [dll_hitpop] fn=C:\\WINDOWS\\system32\\mwiszcyys32_080816.dll [dll_start_bak] fn=C:\\WINDOWS\\system32\\inf\\scrszyys16_080816.dll [dll_start] fn=C:\\WINDOWS\\system32\\lwizyy16_080816.dll [sys] bat=c:\\zyDelm.bat sj=1 [delete] fn= [ie] run=ok hwnd=983902 mgck=1 [listion] run=no [alexa] right_tan88=ok [ver] type=2 [old] dll=C:\\WINDOWS\\system32\\lwizyy16_080812.dll dll_bak=C:\\WINDOWS\\system32\\inf\\scrszyys16_080812.dll exe=C:\\WINDOWS\\system\\zayjhxpRes080812.exe dll32=C:\\WINDOWS\\system32\\mwiszcyys32_080812.dll 可以看出由网络下载后的文件为原病毒的升级文件,通过逆向分析,升级文件并没有对原有的病毒进行根本上的改动。 病毒利用LookupPrivilegeValueA和AdjustTokenPrivileges函数获得系统最高权限;遍历系统进程查找含有以下字符串的进程,如发现就强关闭,以及利用病毒进程模拟Button按钮操作进行放行,使得反病毒软件失效,查找字符串有: avp.exe RUNIEP.EXE KRegEx.exe KVXP.kxp 360tray.exe 复制自身到%Windir%\\system\\zayjhxpRes080812.exe,并将zayjhxpRes080812.exe重命名为scrsyszy080812.scr以屏幕保护程序格式存放于%system32%\\inf\\目录下,用以迷惑用户为正常文件。 6、衍生动态链接库文件%system32%\\inf\\scrszyys16_080812.dll、%system32%\\inf\\lwizyy16_080812.dll和%system32%\\inf\\mwiszcyys32_080812.dll。其中scrszyys16_080816.dll为lwizyy16_080812.dll的备份文件。其中病毒进程svch0st.exe加载lwizyy16_080812.dll动态链接库,用以关闭杀软或者模仿按钮操作,其文件主要字符串如下: e 执 行 保 护 允许执 行 确 定 允 许 创 建 规则 许 允 允许(&a) 跳 过 跳过 (&s) 否 安 全 警 告 是 …… 允 许 此 动 作 确 定 \\ 江 民 主 动 防 御 之 木 马 一 扫 光 提 示 您 江 民主 动防御 之 系 统监 控提示 …… 瑞星卡卡上网 安全助手 – ie防 漏墙 …… avp.button …… avp .alertdialog 病毒进程svch0.exe加载Windows壳Shell相关应用程序接口动态链接库文件shell32.dll,用于后台开启IEexpleore.exe进程,并将mwiszcyys32_080812.dll注入到该进程中,连接 测试网络是否接入因特网。如果网络畅通就连接以下地址 1)http://cjadmin.***.net/cc/list.htm(219.153.14.**:80)地址,返回加密内容,目的为下载 http://cjadmin.***.net/m/rs.exe(219.153.14.**:80)文件,而rs.exe就是病毒复制的自身文件zayjhxpRes080812.exe 2)向http://las****.com(209.162.178.**:80)网站 Password recovery solutions for Word, Excel, Access, Outlook, SQl, Quickbooks and more. Guaranteed password recovery!(在线破解office系列密码网站)返回信息,信息格式为aus.aspx?lv=1&p=RegSnap&v=1711&n=1217973821&x=&c=82d64a73 3)下载http://cjadmin.***.net/m/jkyx.exe(219.153.14.**:80)该病毒为Tojan-Downloader.Win32.Small.afei。 并向http://cjadmin.***.net(219.153.14.**:80)返回信息。信息格式为: /cc/active.asp?ver=080816&userid=rs&userbh=&old=0&address=00-0C-29-51-66-64 7、 修改系统%Windir%\\win.ini文件,修改后内容如下: for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 [MCI Extensions.BAK] aif=MPEGVideo aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo asx=MPEGVideo au=MPEGVideo m1v=MPEGVideo m3u=MPEGVideo mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo wm=MPEGVideo wma=MPEGVideo wmv=MPEGVideo wmx=MPEGVideo wpl=MPEGVideo wvx=MPEGVideo [alexa] right_tan88=ok 其中[alexa]项为由病毒添加,目的在系统启动时辅助病毒自启动。 8、系统目录下创建配置文件%system32%\\zuoyue32.ini,其内容为对IExplorer.exe的初始化: [ie] pm_time=50 pm_count=1 gg_count=1 gg_jg=60 sound=0 ys=90 dx_jg=60 9、 修改注册表添加在启动项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run\\ 键值: zuoyue 字符串: "C:\\WINDOWS\\system32\\inf\\svch0st.exe C:\\WINDOWS\\system32\\lwizyy16_080812.dll zyd16" 描述:创建病毒启动项10、 在系统跟目录下创建批处理文件,进程删除病毒本体,内容如下: "C:\\WINDOWS\\system\\zayjhxpRes080812.exe" i del %0 其中C:\\WINDOWS\\system目录为病毒运行的当前目录。 注释: %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动系统所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% 当前用户TEMP缓存变量;路径为: %Documents and Settings%\\当前用户\\Local Settings\\Temp %System32% 是一个可变路径; 病毒通过查询操作系统来决定当前System32文件夹的位置; Windows2000/NT中默认的安装路径是C:\\Winnt\\System32; Windows95/98/Me中默认的安装路径是C:\\Windows\\System; WindowsXP中默认的安装路径是C:\\Windows\\System32。 清除方案1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天防线或ATOOL中的“进程管理”关闭病毒进程 svch0st.exe和IExplorer.exe 。 (2) 强行删除病毒文件 %Windir% \\system\\zayjhxpRes080812.exe %System32%\\inf\\scrsyszy080812.scr %System32%\\inf\\scrszyys16_080812.dll %System32%\\inf\\svch0st.exe %System32%\\lwizyy16_080812.dll %System32%\\mwiszcyys32_080812.dll %Windir% \\zuoyu16.ini (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run\\ 键值: zuoyue 字符串: "C:\\WINDOWS\\system32\\inf\\svch0st.exe C:\\WINDOWS\\system32\\lwizyy16_080812.dll zyd16" 描述:创建病毒启动项 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。