| 词条 | Trojan.Spy.Win32.Pophot.cme |
| 释义 | 该病毒为间谍类木马,病毒运行后查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息,获取进程句丙修改访问权限 病毒标签病毒名称: Trojan-Spy.Win32.Pophot.cme 病毒类型: 间谍木马 文件 MD5: 366698F5D861082102E87D39F6317909 公开范围: 完全公开 危害等级: 4 文件长度: 124,896 字节 感染系统: Windows98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: WinUpack 0.39 final -> By Dwing 病毒描述如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,在%System32%\\目录下建立文件夹inf并拷贝%System32%\\目录下的rundll32.exe到inf目录下重命名为svchost.exe,衍生病毒文件wftadfi16_080921a.dll、dcbdcatys32_080921a.dll(该病毒文件为查找雅虎和IE保护选项的窗口,并按提示做出相对的回应)到%Windir%目录下,衍生病毒文件sppdcrs080921.scr(该文件为病毒自身)、scsys16_080921.dll(该文件模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许)到%System32%\\inf目录下,添加注册表启动项目使用rundll32.exe加载病毒DLL文件,并在%Windir%目录下创建配置文件tawisys.ini存放衍生的病毒路径,衍生mywfhit.ini到System32目录下mywfhit.ini文件记录病毒更新情况,病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。 行为分析本地行为 1、文件运行后会释放以下文件,病毒全部为随机病毒名 %system32%\\inf\\svchoct.exe %system32%\\inf\\sppdcrs080921.scr %system32%\\inf\\scsys16_080921.dll %system%\\sgcxcxxaspf080921.exe %system32%\\mywfhit.ini %system32%\\tmpacj0.exe %Windir%\\tawisys.ini %Windir%\\wftadfi16_080921a.dll %Windir%\\dcbdcatys32_080921a.dll 2、修改注册表项,改变桌面显示设置 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run\\minyust 值: 字符串: "C:\\WINDOWS\\system32\\inf\\svchoct.exe C:\\WINDOWS\\wftadfi16_080921a.dll tan16d" 描述:使用rundll32.exe加载病毒DLL文件 3、找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息,获取进程句丙修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd.exe -c q -p命令强行关闭。 4、查找雅虎和IE保护选项的窗口,并按提示做出相对的回应, 模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许,使用rundll32.exe加载病毒DLL文件,病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。 网络行为 连接以下网站下载病毒文件 http://k****.com/list.htm (读取该地址的加密内容,加密内容为病毒EXE下载地址) http://www.p****.com/comine/cool.exe 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings \\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是%system32% 清除方案1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1)使用安天防线或ATOOL进程管理找到iexplore.exe进程关闭该进程,找到inf目录下的svchost.exe进程将其进程结束。 (2)删除注册表启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run\\minyust 值: 字符串: "C:\\WINDOWS\\system32\\inf\\svchoct.exe C:\\WINDOWS\\wftadfi16_080921a.dll tan16d" (3)删除病毒添加的注册表启动项 %system32%\\inf\\svchoct.exe %system32%\\inf\\sppdcrs080921.scr %system32%\\inf\\scsys16_080921.dll %system%\\sgcxcxxaspf080921.exe %system32%\\mywfhit.ini %system32%\\tmpacj0.exe %Windir%\\tawisys.ini %Windir%\\wftadfi16_080921a.dll %Windir%\\dcbdcatys32_080921a.dll 或打开%Windir%\\目录下的tawisys.ini文件,按病毒绝对路径将病毒文件全部删除 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。