該病毒為間諜類木馬,病毒運行後查找CabinetWClass類名的視窗,找到該視窗後調用API函式枚舉該視窗的子視窗通過調用SendMessageA向該視窗傳送訊息並卻在該視窗捕獲訊息,獲取進程句丙修改訪問許可權
基本介紹
- 中文名:Trojan-Spy.Win32.Pophot.cme
- 病毒類型:間諜木馬
- 公開範圍:完全公開
- 危害等級:4
病毒標籤,病毒描述,行為分析,清除方案,
檔案 MD5: 366698F5D861082102E87D39F6317909
檔案長度: 124,896 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: WinUpack 0.39 final -> By Dwing
如發現RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe進程就調用ntsd命令強行關閉,在%System32%\目錄下建立資料夾inf並拷貝%System32%\目錄下的rundll32.exe到inf目錄下重命名為svchost.exe,衍生病毒檔案wftadfi16_080921a.dll、dcbdcatys32_080921a.dll(該病毒檔案為查找雅虎和IE保護選項的視窗,並按提示做出相對的回應)到%Windir%目錄下,衍生病毒檔案sppdcrs080921.scr(該檔案為病毒自身)、scsys16_080921.dll(該檔案模擬滑鼠點擊操作以達到躲避病毒安全軟體的主動提示,模擬點擊操作為允許)到%System32%\inf目錄下,添加註冊表啟動項目使用rundll32.exe載入病毒DLL檔案,並在%Windir%目錄下創建配置檔案tawisys.ini存放衍生的病毒路徑,衍生mywfhit.ini到System32目錄下mywfhit.ini檔案記錄病毒更新情況,病毒會不定期開啟iexploe.exe連線網路下載病毒檔案更新自身。
本地行為
1、檔案運行後會釋放以下汗記葛檔案,病毒全部為隨機病毒名
%system32%\inf\svchoct.exe
%system32%\inf\sppdcrs080921.scr
%system32%\inf\scsys16_080921.dll
%system%\sgcxcxxaspf080921.exe
%system32%\mywfhit.ini
%system32%\tmpacj0.exe
%Windir%\tawisys.ini
%Windir%\wftadfi16_080921a.dll
%Windir%\dcbdcatys32_080921a.dll
2、修改註冊表項頁跨求膠,改變桌面顯示設定
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\minyust
值: 字元串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080921a.dll tan16d"
描述:使用rundll32.exe載入病毒DLL檔案
3、找到該視窗後調用API函式枚舉該視窗的子視窗通過調用SendMessageA向該視窗傳送訊息並卻在該視窗捕獲訊息,獲取進程句丙修改訪問權船船籃頁限,如發現RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe進程就調用ntsd.exe -c q -p命令強行戲充估關閉。
4、查找雅虎和IE保護選項的視窗,道熱懂並按提示做出相對的回應, 模擬滑鼠點擊操作以達到囑料躲避病毒安全軟體的主動提示,模擬點擊操作為故故煉允許,使用rundll32.exe載入病毒DLL檔案,病毒會不定期開啟iexploe.exe連線網路下載病毒檔案更新自身。
網路行為
連線以下網站下載病毒檔案
http://k****.com/list.htm (讀取該地址的加密內容,加密內容為病毒EXE下載地址)
http://www.p****.com/comine/cool.exe
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是%system32%
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用安天防線或ATOOL進程管理找到iexplore.exe進程關閉該進程,找到inf目錄下的svchost.exe進程將其進程結束。
(2)刪除註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\minyust
值: 字元串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080921a.dll tan16d"
(3)刪除病毒添加的註冊表啟動項
%system32%\inf\svchoct.exe
%system32%\inf\sppdcrs080921.scr
%system32%\inf\scsys16_080921.dll
%system%\sgcxcxxaspf080921.exe
%system32%\mywfhit.ini
%system32%\tmpacj0.exe
%Windir%\tawisys.ini
%Windir%\wftadfi16_080921a.dll
%Windir%\dcbdcatys32_080921a.dll
或打開%Windir%\目錄下的tawisys.ini檔案,按病毒絕對路徑將病毒檔案全部刪除
描述:使用rundll32.exe載入病毒DLL檔案
3、找到該視窗後調用API函式枚舉該視窗的子視窗通過調用SendMessageA向該視窗傳送訊息並卻在該視窗捕獲訊息,獲取進程句丙修改訪問許可權,如發現RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe進程就調用ntsd.exe -c q -p命令強行關閉。
4、查找雅虎和IE保護選項的視窗,並按提示做出相對的回應, 模擬滑鼠點擊操作以達到躲避病毒安全軟體的主動提示,模擬點擊操作為允許,使用rundll32.exe載入病毒DLL檔案,病毒會不定期開啟iexploe.exe連線網路下載病毒檔案更新自身。
網路行為
連線以下網站下載病毒檔案
http://k****.com/list.htm (讀取該地址的加密內容,加密內容為病毒EXE下載地址)
http://www.p****.com/comine/cool.exe
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是%system32%
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用安天防線或ATOOL進程管理找到iexplore.exe進程關閉該進程,找到inf目錄下的svchost.exe進程將其進程結束。
(2)刪除註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\minyust
值: 字元串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080921a.dll tan16d"
(3)刪除病毒添加的註冊表啟動項
%system32%\inf\svchoct.exe
%system32%\inf\sppdcrs080921.scr
%system32%\inf\scsys16_080921.dll
%system%\sgcxcxxaspf080921.exe
%system32%\mywfhit.ini
%system32%\tmpacj0.exe
%Windir%\tawisys.ini
%Windir%\wftadfi16_080921a.dll
%Windir%\dcbdcatys32_080921a.dll
或打開%Windir%\目錄下的tawisys.ini檔案,按病毒絕對路徑將病毒檔案全部刪除
