病毒标签病毒名称: Trojan-Spy.Win32.Pophot.bxg
病毒类型: 木马
文件 MD5: D41D279F1CDFA877CF89D188924CA4AA
公开范围: 完全公开
危害等级: 4
文件长度: 106,288 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述该病毒为木马。病毒运行后首先获取病毒体存放路径,路径获取成功后衍生病毒进程文件,调用内存中运行动态链接库的系统进程;创建病毒配置文件,运用系统API函数对配置文件进行逐条写入信息,记录病毒运行及更新后情况;再次利用系统特定API函数对病毒体的系统权限进行提升,然后遍历系统进程查找字符串如发现有卡巴斯基、瑞星卡卡上网助手、江民、360的进程就进行关闭;复制本体到系统目录下,并将复制的本体再次复制重新命名以.scr格式存放;衍生动态连接库文件,由病毒的进程进行加载监视以上的反病毒软件行为,模仿Button按钮操作,加载系统Shell相关应用程序接口动态链接库文件,后台开启Iexplorer.exe进程进行连接网络;修改注册表添加病毒启动项;病毒最后在系统根目录下创建批处理文件用以删除病毒本身文件。
行为分析本地行为
1、 获取病毒存放路径,如若不存在则创建路径
c:WINDOWS
c:WINDOWSsystem
c:WINDOWSsystem32inf
其中c:WINDOWS为%Windir%;c:WINDOWSsystem\%Windir%system
c:WINDOWSsystem32inf为%System32%inf
2、衍生病毒进程文件以svch0st.exe为名衍生到%System32%inf目录下,伪装svchost.exe进程,用以隐藏病毒;调用系统进程rundll32.exe,用于内存中运行动态连接库文件。
3、创建配置文件%Windir%zuoyu16.ini,用GetPrivateProfileStringA函数进行写入内容,用以病毒文件的加载,其连接网络失败内容如下:
[temp]
myf=e
[hitpop]
first=1
ver=080812
kv=0
[exe]
fn=C:WINDOWSsystemzayjhxpRes080812.exe
[exe_bak]
fn=C:WINDOWSsystem32infscrsyszy080812.scr
[dll_hitpop]
fn=C:WINDOWSsystem32mwiszcyys32_080812.dll
[dll_start_bak]
fn=C:WINDOWSsystem32infscrszyys16_080812.dll
[dll_start]
fn=C:WINDOWSsystem32lwizyy16_080812.dll
[sys]
bat=c:zyDelm.bat
[delete]
fn=
[ie]
run=no
[listion]
run=no
连接网络成功内容如下:
[temp]
myf=e
[hitpop]
first=1
ver=080816
kv=0
[exe]
fn=C:WINDOWSsystemzayjhxpRes080816.exe
[exe_bak]
fn=C:WINDOWSsystem32infscrsyszy080816.scr
[dll_hitpop]
fn=C:WINDOWSsystem32mwiszcyys32_080816.dll
[dll_start_bak]
fn=C:WINDOWSsystem32infscrszyys16_080816.dll
[dll_start]
fn=C:WINDOWSsystem32lwizyy16_080816.dll
[sys]
bat=c:zyDelm.bat
sj=1
[delete]
fn=
[ie]
run=ok
hwnd=983902
mgck=1
[listion]
run=no
[alexa]
right_tan88=ok
[ver]
type=2
[old]
dll=C:WINDOWSsystem32lwizyy16_080812.dll
dll_bak=C:WINDOWSsystem32infscrszyys16_080812.dll
exe=C:WINDOWSsystemzayjhxpRes080812.exe
dll32=C:WINDOWSsystem32mwiszcyys32_080812.dll
可以看出由网络下载后的文件为原病毒的升级文件,通过逆向分析,升级文件并没有对原有的病毒进行根本上的改动。
4、病毒利用LookupPrivilegeValueA和AdjustTokenPrivileges函数获得系统最高权限;遍历系统进程查找含有以下字符串的进程,如发现就强关闭,以及利用病毒进程模拟Button按钮操作进行放行,使得反病毒软件失效,查找字符串有:
avp.exe
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
360tray.exe
5、复制自身到%Windir%systemzayjhxpRes080812.exe,并将zayjhxpRes080812.exe重命名为scrsyszy080812.scr以屏幕保护程序格式存放于%system32%inf目录下,用以迷惑用户为正常文件。
6、衍生动态链接库文件%system32%infscrszyys16_080812.dll、%system32%inflwizyy16_080812.dll和%system32%infmwiszcyys32_080812.dll。其中scrszyys16_080816.dll为lwizyy16_080812.dll的备份文件。其中病毒进程svch0st.exe加载lwizyy16_080812.dll动态链接库,用以关闭杀软或者模仿按钮操作,其文件主要字符串如下:
e 执
行
保
护
允许执
行
确
定
允
许
创
建
规则
许
允
允许(&a)
跳
过
跳过
(&s)
否
安
全
警
告
是
……
允
许
此
动
作
确
定
江
民
主
动
防
御
之
木
马
一
扫
光
提
示
您
江
民主
动防御
之
系
统监
控提示
……
瑞星卡卡上网
安全助手 – ie防
漏墙
……
avp.button
……
avp
.alertdialog
病毒进程svch0.exe加载Windows壳Shell相关应用程序接口动态链接库文件shell32.dll,用于后台开启IEexpleore.exe进程,并将mwiszcyys32_080812.dll注入到该进程中,连接http://www.baidu.com
http://www.baidu.com/img/baidu_****.gif测试网络是否接入因特网。如果网络畅通就连接以下地址
1)http://cjadmin.***.net/cc/list.htm(219.153.14.**:80)地址,返回加密内容,目的为下载
http://cjadmin.***.net/m/rs.exe(219.153.14.**:80)文件,而rs.exe就是病毒复制的自身文件zayjhxpRes080812.exe
2)向http://las****.com(209.162.178.**:80)网站
Password recovery solutions for Word, Excel, Access, Outlook, SQl, Quickbooks and more. Guaranteed password recovery!(在线破解office系列密码网站)返回信息,信息格式为aus.aspx?lv=1&p=RegSnap&v=1711&n=1217973821&x=&c=82d64a73
3)下载http://cjadmin.***.net/m/jkyx.exe(219.153.14.**:80)该病毒为Tojan-Downloader.Win32.Small.afei。
并向http://cjadmin.***.net(219.153.14.**:80)返回信息。信息格式为:
/cc/active.asp?ver=080816&userid=rs&userbh=&old=0&address=00-0C-29-51-66-64
7、 修改系统%Windir%win.ini文件,修改后内容如下:
for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
[alexa]
right_tan88=ok
其中[alexa]项为由病毒添加,目的在系统启动时辅助病毒自启动。
8、系统目录下创建配置文件%system32%zuoyue32.ini,其内容为对IExplorer.exe的初始化:
[ie]
pm_time=50
pm_count=1
gg_count=1
gg_jg=60
sound=0
ys=90
dx_jg=60
9、 修改注册表添加在启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
un
键值: zuoyue
字符串: "C:WINDOWSsystem32infsvch0st.exe C:WINDOWSsystem32lwizyy16_080812.dll zyd16"
描述:创建病毒启动项
10、 在系统跟目录下创建批处理文件,进程删除病毒本体,内容如下:
"C:WINDOWSsystemzayjhxpRes080812.exe" i
del %0
其中C:WINDOWSsystem目录为病毒运行的当前目录。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%当前用户Local SettingsTemp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是C:WinntSystem32;
Windows95/98/Me中默认的安装路径是C:WindowsSystem;
WindowsXP中默认的安装路径是C:WindowsSystem32。
清除方案1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天防线或ATOOL中的“进程管理”关闭病毒进程 svch0st.exe和IExplorer.exe 。
(2) 强行删除病毒文件
%Windir% systemzayjhxpRes080812.exe
%System32%infscrsyszy080812.scr
%System32%infscrszyys16_080812.dll
%System32%infsvch0st.exe
%System32%lwizyy16_080812.dll
%System32%mwiszcyys32_080812.dll
%Windir% zuoyu16.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
un
键值: zuoyue
字符串: "C:WINDOWSsystem32infsvch0st.exe C:WINDOWSsystem32lwizyy16_080812.dll zyd16"
描述:创建病毒启动项
