基本介紹
- 外文名:Trojan.Spy.Win32.Pophot.bxg
- 病毒類型:木馬
- 公開範圍:完全公開
- 危害等級:4
病毒標籤,病毒描述,行為分析,本地行為,病毒利用,複製自身,病毒進程,描述:創建病毒啟動項,清除方案,
病毒標籤
病毒名稱: Trojan-Spy.Win32.Pophot.bxg
檔案 MD5: D41D279F1CDFA877CF89D188924CA4AA
檔案長度: 106,288 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: WinUpack 0.39 final -> By Dwing
病毒描述
再次利用系統特定API函式對病毒體的系統許可權進行提升,然後遍歷系統進程查找字元串如發現有卡巴斯基、瑞星卡卡上網助手、江民、360的進程就進行關閉;複製本體到系統目錄下,並將複製的本體再次複製重新命名以.scr格式存放;衍生動態連線庫檔案,由病毒的進程進行載入監視以上的反病毒軟體行為,模仿Button按鈕操作,載入系統Shell相關應用程式接口動態程式庫檔案,後台開啟Iexplorer.exe進程進行連線網路;修改註冊表添加病毒啟動項;病毒最後在系統根目錄下創建批處理檔案用以刪除病毒本身檔案。
行為分析
本地行為
1、 獲取病毒存放路徑,如若不存在則創建路徑
c:\WINDOWS\
c:\WINDOWS\system\
c:\WINDOWS\system32\inf\
其中c:\WINDOWS\為%Windir%\;c:\WINDOWS\system\%Windir%\system\
c:\WINDOWS\system32\inf\為%System32%\inf\
2、衍生病毒進程檔案以svch0st.exe為名衍生到%System32%\inf\目錄下,偽裝svchost.exe進程,用以隱藏病毒;調用系統進程rundll32.exe,用於記憶體中運行動態連線庫檔案。
3、創建配置檔案%Windir%\zuoyu16.ini,用GetPrivateProfileStringA函式進行寫入內容,用以病毒檔案的載入,其連線網路失敗內容如下:
[temp]
myf=e
[hitpop]
first=1
ver=080812
kv=0
[exe]
fn=C:\WINDOWS\system\zayjhxpRes080812.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\scrsyszy080812.scr
[dll_hitpop]
fn=C:\WINDOWS\system32\mwiszcyys32_080812.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scrszyys16_080812.dll
[dll_start]
fn=C:\WINDOWS\system32\lwizyy16_080812.dll
[sys]
bat=c:\zyDelm.bat
[delete]
fn=
[ie]
run=no
[listion]
run=no
連線網路成功內容如下:
[temp]
myf=e
[hitpop]
first=1
ver=080816
kv=0
[exe]
fn=C:\WINDOWS\system\zayjhxpRes080816.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\scrsyszy080816.scr
[dll_hitpop]
fn=C:\WINDOWS\system32\mwiszcyys32_080816.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scrszyys16_080816.dll
[dll_start]
fn=C:\WINDOWS\system32\lwizyy16_080816.dll
[sys]
bat=c:\zyDelm.bat
sj=1
[delete]
fn=
[ie]
run=ok
hwnd=983902
mgck=1
[listion]
run=no
[alexa]
right_tan88=ok
[ver]
type=2
[old]
dll=C:\WINDOWS\system32\lwizyy16_080812.dll
dll_bak=C:\WINDOWS\system32\inf\scrszyys16_080812.dll
exe=C:\WINDOWS\system\zayjhxpRes080812.exe
dll32=C:\WINDOWS\system32\mwiszcyys32_080812.dll
可以看出由網路下載後的檔案為原病毒的升級檔案,通過逆向分析,升級檔案並沒有對原有的病毒進行根本上的改動。
病毒利用
LookupPrivilegeValueA和AdjustTokenPrivileges函式獲得系統最高許可權;遍歷系統進程查找含有以下字元串的進程,如發現就強關閉,以及利用病毒進程模擬Button按鈕操作進行放行,使得反病毒軟體失效,查找字元串有:
avp.exe
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
360tray.exe
複製自身
到%Windir%\system\zayjhxpRes080812.exe,並將zayjhxpRes080812.exe重命名為scrsyszy080812.scr以螢幕保護程式格式存放於%system32%\inf\目錄下,用以迷惑用戶為正常檔案。
6、衍生動態程式庫檔案%system32%\inf\scrszyys16_080812.dll、%system32%\inf\lwizyy16_080812.dll和%system32%\inf\mwiszcyys32_080812.dll。其中scrszyys16_080816.dll為lwizyy16_080812.dll的備份檔案。其中病毒進程svch0st.exe載入lwizyy16_080812.dll動態程式庫,用以關閉殺軟或者模仿按鈕操作,其檔案主要字元串如下:
e 執行保護允許執行,確定允許創建規則,允許跳過,是否安全警告……允許此動作確定
江民主動防禦之木馬一掃光提示您
江民主動防禦之系統監控提示
……
瑞星卡卡上網
安全助手 –
ie防漏牆
……
avp.button
……
avp
.alertdialog
病毒進程
svch0.exe載入Windows殼Shell相關應用程式接口動態程式庫檔案shell32.dll,用於後台開啟IEexpleore.exe進程,並將mwiszcyys32_080812.dll注入到該進程中,連線
測試網路是否接入網際網路。如果網路暢通就連線以下地址
1)http://cjadmin.***.net/cc/list.htm(219.153.14.**:80)地址,返回加密內容,目的為下載
http://cjadmin.***.net/m/rs.exe(219.153.14.**:80)檔案,而rs.exe就是病毒複製的自身檔案zayjhxpRes080812.exe
2)向http://las****.com(209.162.178.**:80)網站
Password recovery solutions for Word, Excel, Access, Outlook, SQl, Quickbooks and more. Guaranteed password recovery!(線上破解office系列密碼網站)返回信息,信息格式為aus.aspx?lv=1&p=RegSnap&v=1711&n=1217973821&x=&c=82d64a73
3)下載http://cjadmin.***.net/m/jkyx.exe(219.153.14.**:80)該病毒為Tojan-Downloader.Win32.Small.afei。
並向http://cjadmin.***.net(219.153.14.**:80)返回信息。信息格式為:
/cc/active.asp?ver=080816&userid=rs&userbh=&old=0&address=00-0C-29-51-66-64
7、 修改系統%Windir%\win.ini檔案,修改後內容如下:
for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
[alexa]
right_tan88=ok
其中[alexa]項為由病毒添加,目的在系統啟動時輔助病毒自啟動。
8、系統目錄下創建配置檔案%system32%\zuoyue32.ini,其內容為對IExplorer.exe的初始化:
[ie]
pm_time=50
pm_count=1
gg_count=1
gg_jg=60
sound=0
ys=90
dx_jg=60
9、 修改註冊表添加在啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
鍵值: zuoyue
字元串: "C:\WINDOWS\system32\inf\svch0st.exe C:\WINDOWS\system32\lwizyy16_080812.dll zyd16"
描述:創建病毒啟動項
10、 在系統跟目錄下創建批處理檔案,進程刪除病毒本體,內容如下:
"C:\WINDOWS\system\zayjhxpRes080812.exe" i
del %0
其中C:\WINDOWS\system目錄為病毒運行的當前目錄。
注釋:
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動系統所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% 當前用戶TEMP快取變數;路徑為:
%Documents and Settings%\當前用戶\Local Settings\Temp
%System32% 是一個可變路徑;
病毒通過查詢作業系統來決定當前System32資料夾的位置;
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32;
Windows95/98/Me中默認的安裝路徑是C:\Windows\System;
WindowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 強行刪除病毒檔案
%Windir% \system\zayjhxpRes080812.exe
%System32%\inf\scrsyszy080812.scr
%System32%\inf\scrszyys16_080812.dll
%System32%\inf\svch0st.exe
%System32%\lwizyy16_080812.dll
%System32%\mwiszcyys32_080812.dll
%Windir% \zuoyu16.ini
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
鍵值: zuoyue
字元串: "C:\WINDOWS\system32\inf\svch0st.exe C:\WINDOWS\system32\lwizyy16_080812.dll zyd16"
描述:創建病毒啟動項
