| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Pophot.103284

來源:互聯網  2008-08-14 23:01:06  評論
窄屏简体版  手機版  移動版  字體: ||

病毒名稱(中文):

POPHOT點擊器變種103284

病毒別名:

威脅級別:

★★☆☆☆

病毒類型:

木馬下載器

病毒長度:

103284

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個具有盜號木馬功能的廣告病毒。它會彈出廣告、修改IE主頁,還會竊取本地保存的InternetExplorer,OutlookExpress和MSNExplorer密碼。病毒會在非系統盤中生成AUTO病毒文件,並嘗試關閉一些安全軟件,以便能下載病毒到本地運行。

1.病毒運行後,會創建以下文件:

%swindir%\mwinsys.ini

%system32%\inf\scrsys071031.scr

%system32%\inf\scrsys16_071031.dll

%system32%\winsys16_071031.dll

%system32%\winsys32_071031.dll

%system32%\AlxRes071031.exe

其中mwinsys.ini爲病毒的配置文件,病毒的版本,找到的殺毒軟件個數,主程序所在路徑,動態庫及備份文件所在路徑

,要執行的批處理文件等信息.%system32%\inf目錄下的兩個文件爲病毒的備份文件,

AlxRes071031.exe(注,文件名字071031是隨著病毒升級改變的)爲主程序,winsys16_071031.dll

和winsys32_071031.dll用于繞過或關閉殺毒軟件.

2.病毒會檢測自己的路徑是否爲%system32%\AlxRes071031.exe,若不是,就將自己拷貝到

%system32%\AlxRes071031.exe,然後在C盤目錄下釋放一個myDelm.bat的批處理來刪除自己.

3.該病毒會在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run下

添加一個Userinit的值來自啓動,啓動參數爲:"rundll32.exeC:\WINDOWS\system32\winsys16_071031.dllstart"

病毒通過RUNDLL32加載winsys16_071031.dll後,會模擬用戶點擊鼠標來屏蔽一些主動防禦或實時監控的提示.

病毒不斷檢測以下窗口名或窗口類名:

"IE執行保護"

"瑞星卡卡上網安全助手-IE防漏牆"

"安全警告"

AVP.AlertDialog

AVP.Product_Notification

AVP.TrafficMonConnectionTerm

檢測到後模擬用戶點擊"答應執行","是","創建規則"等按鈕來屏蔽提示和警告.

4.病毒不斷查找以下進程名並嘗試結束:

AVP.exe(卡巴斯基)

360tray.exe(360安全助手)

RUNIEP.EXE(瑞星卡卡)

KRegEx.exe(江民木馬一掃光)

KVXP.kxp(江民殺毒軟件主程序)

5.病毒會修改IE和BAIDU工具條,GOOGLE工具條,雅虎助手等工具的白名單.

使以下網址彈出的廣告不被攔截:

ad.3**66.com

jm.9***9.com

u.vl**365.com

www.3***6.com

www.4***658.com

www.y**y.com

並將這些站點加到受信任站點和受信任域的列表中.

6.病毒啓動一個IE進程,通過遠程注入來加載winsys32_071031.dll.

病毒會修改主頁和自我更新,從http://ip.oh-bb.cn/down/1203.exe下載病毒的最新版本到本地運行.

文件名和URL中的1203.exe不是固定的,如病毒的最新版爲10月31日更新的,則URL爲:

http://**.oh**b.cn/down/1203.exe.

7.病毒會在桌面和收藏夾下生成一些指向廣告網站的網頁快捷方式:

防止惡意彈窗的利器.url(指向http://www.3**66.com/fox.htm)

免費電影.url(指向http://www.1**l*ok.com)

上網最安全-火狐浏覽器.url(http://www.3**66.com/fox.htm)

8.病毒會將自己拷貝到除系統分區外的其它分區下,並創建AUTORUN.INF指向自己.

使得用戶雙擊打開磁盤時同時運行病毒.

並會在

9.爲自己注冊如下BHO:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}

10.病毒通過枚舉HKEY_CURRENT_USER\Software\Microsoft\ProtectedStorageSystemProvider下的

鍵值來獲取用戶保存在本機的InternetExplorer,OutlookExpress和MSNExplorer密碼.

病毒名稱(中文): POPHOT點擊器變種103284 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 103284 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個具有盜號木馬功能的廣告病毒。它會彈出廣告、修改IE主頁,還會竊取本地保存的InternetExplorer,OutlookExpress和MSNExplorer密碼。病毒會在非系統盤中生成AUTO病毒文件,並嘗試關閉一些安全軟件,以便能下載病毒到本地運行。 1.病毒運行後,會創建以下文件: %swindir%\mwinsys.ini %system32%\inf\scrsys071031.scr %system32%\inf\scrsys16_071031.dll %system32%\winsys16_071031.dll %system32%\winsys32_071031.dll %system32%\AlxRes071031.exe 其中mwinsys.ini爲病毒的配置文件,病毒的版本,找到的殺毒軟件個數,主程序所在路徑,動態庫及備份文件所在路徑 ,要執行的批處理文件等信息.%system32%\inf目錄下的兩個文件爲病毒的備份文件, AlxRes071031.exe(注,文件名字071031是隨著病毒升級改變的)爲主程序,winsys16_071031.dll 和winsys32_071031.dll用于繞過或關閉殺毒軟件. 2.病毒會檢測自己的路徑是否爲%system32%\AlxRes071031.exe,若不是,就將自己拷貝到 %system32%\AlxRes071031.exe,然後在C盤目錄下釋放一個myDelm.bat的批處理來刪除自己. 3.該病毒會在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run下 添加一個Userinit的值來自啓動,啓動參數爲:"rundll32.exeC:\WINDOWS\system32\winsys16_071031.dllstart" 病毒通過RUNDLL32加載winsys16_071031.dll後,會模擬用戶點擊鼠標來屏蔽一些主動防禦或實時監控的提示. 病毒不斷檢測以下窗口名或窗口類名: "IE執行保護" "瑞星卡卡上網安全助手-IE防漏牆" "安全警告" AVP.AlertDialog AVP.Product_Notification AVP.TrafficMonConnectionTerm 檢測到後模擬用戶點擊"答應執行","是","創建規則"等按鈕來屏蔽提示和警告. 4.病毒不斷查找以下進程名並嘗試結束: AVP.exe(卡巴斯基) 360tray.exe(360安全助手) RUNIEP.EXE(瑞星卡卡) KRegEx.exe(江民木馬一掃光) KVXP.kxp(江民殺毒軟件主程序) 5.病毒會修改IE和BAIDU工具條,GOOGLE工具條,雅虎助手等工具的白名單. 使以下網址彈出的廣告不被攔截: ad.3**66.com jm.9***9.com u.vl**365.com www.3***6.com www.4***658.com www.y**y.com 並將這些站點加到受信任站點和受信任域的列表中. 6.病毒啓動一個IE進程,通過遠程注入來加載winsys32_071031.dll. 病毒會修改主頁和自我更新,從http://ip.oh-bb.cn/down/1203.exe下載病毒的最新版本到本地運行. 文件名和URL中的1203.exe不是固定的,如病毒的最新版爲10月31日更新的,則URL爲: http://**.oh**b.cn/down/1203.exe. 7.病毒會在桌面和收藏夾下生成一些指向廣告網站的網頁快捷方式: 防止惡意彈窗的利器.url(指向http://www.3**66.com/fox.htm) 免費電影.url(指向http://www.1**l*ok.com) 上網最安全-火狐浏覽器.url(http://www.3**66.com/fox.htm) 8.病毒會將自己拷貝到除系統分區外的其它分區下,並創建AUTORUN.INF指向自己. 使得用戶雙擊打開磁盤時同時運行病毒. 並會在 9.爲自己注冊如下BHO: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects{F1FABE79-25FC-46de-8C5A-2C6DB9D64333} 10.病毒通過枚舉HKEY_CURRENT_USER\Software\Microsoft\ProtectedStorageSystemProvider下的 鍵值來獲取用戶保存在本機的InternetExplorer,OutlookExpress和MSNExplorer密碼.
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有