科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Trojan-Spy.Win32.Pophot.bxg(svch0st.exe,rundll32.exe)分析

Trojan-Spy.Win32.Pophot.bxg(svch0st.exe,rundll32.exe)分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒为木马。病毒运行后首先获取病毒体存放路径,路径获取成功后衍生病毒进程文件,调用内存中运行动态链接库的系统进程;创建病毒配置文件,运用系统API函数对配置文件进行逐条写入信息,记录病毒运行及更新后情况;再次利用系统特定API函数对病毒体的系统权限进行提升,然后遍历系统进程查找字符串如发现有卡巴斯基

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
病毒描述


该病毒为木马。病毒运行后首先获取病毒体存放路径,路径获取成功后衍生病毒进程文件,调用内存中运行动态链接库的系统进程;创建病毒配置文件,运用系统API函数对配置文件进行逐条写入信息,记录病毒运行及更新后情况;再次利用系统特定API函数对病毒体的系统权限进行提升,然后遍历系统进程查找字符串如发现有卡巴斯基、瑞星卡卡上网助手、江民、360的进程就进行关闭;复制本体到系统目录下,并将复制的本体再次复制重新命名以.scr格式存放;衍生动态连接库文件,由病毒的进程进行加载监视以上的反病毒软件行为,模仿Button按钮操作,加载系统Shell相关应用程序接口动态链接库文件,后台开启Iexplorer.exe进程进行连接网络;修改注册表添加病毒启动项;病毒最后在系统根目录下创建批处理文件用以删除病毒本身文件。
行为分析-本地行为


1、 获取病毒存放路径,如若不存在则创建路径
c:\WINDOWS\
c:\WINDOWS\system\
c:\WINDOWS\system32\inf\
其中c:\WINDOWS\为%Windir%\;c:\WINDOWS\system\%Windir%\system\
c:\WINDOWS\system32\inf\为%System32%\inf\

2、 衍生病毒进程文件以svch0st.exe为名衍生到%System32%\inf\目录下,伪装svchost.exe进程,用以隐藏病毒;调用系统进程rundll32.exe,用于内存中运行动态连接库文件。

3、 创建配置文件%Windir%\zuoyu16.ini,用GetPrivateProfileStringA函数进行写入内容,用以病毒文件的加载,其连接网络失败内容如下:
[temp]
myf=e
[hitpop]
first=1
ver=080812
kv=0
[exe]
fn=C:\WINDOWS\system\zayjhxpRes080812.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\scrsyszy080812.scr
[dll_hitpop]
fn=C:\WINDOWS\system32\mwiszcyys32_080812.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scrszyys16_080812.dll
[dll_start]
fn=C:\WINDOWS\system32\lwizyy16_080812.dll
[sys]
bat=c:\zyDelm.bat
[delete]
fn=
[ie]
run=no
[listion]
run=no
连接网络成功内容如下:
[temp]
myf=e
[hitpop]
first=1
ver=080816
kv=0
[exe]
fn=C:\WINDOWS\system\zayjhxpRes080816.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\scrsyszy080816.scr
[dll_hitpop]
fn=C:\WINDOWS\system32\mwiszcyys32_080816.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scrszyys16_080816.dll
[dll_start]
fn=C:\WINDOWS\system32\lwizyy16_080816.dll
[sys]
bat=c:\zyDelm.bat
sj=1
[delete]
fn=
[ie]
run=ok
hwnd=983902
mgck=1
[listion]
run=no
[alexa]
right_tan88=ok
[ver]
type=2
[old]
dll=C:\WINDOWS\system32\lwizyy16_080812.dll
dll_bak=C:\WINDOWS\system32\inf\scrszyys16_080812.dll
exe=C:\WINDOWS\system\zayjhxpRes080812.exe
dll32=C:\WINDOWS\system32\mwiszcyys32_080812.dll
可以看出由网络下载后的文件为原病毒的升级文件,通过逆向分析,升级文件并没有对原有的病毒进行根本上的改动。

4、 病毒利用LookupPrivilegeValueA和AdjustTokenPrivileges函数获得系统最高权限;遍历系统进程查找含有以下字符串的进程,如发现就强关闭,以及利用病毒进程模拟Button按钮操作进行放行,使得反病毒软件失效,查找字符串有:
avp.exe
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
360tray.exe

5、 复制自身到%Windir%\system\zayjhxpRes080812.exe,并将zayjhxpRes080812.exe重命名为scrsyszy080812.scr以屏幕保护程序格式存放于%system32%\inf\目录下,用以迷惑用户为正常文件。

6、 衍生动态链接库文件%system32%\inf\scrszyys16_080812.dll、%system32%\inf\lwizyy16_080812.dll和%system32%\inf\mwiszcyys32_080812.dll。其中scrszyys16_080816.dll为lwizyy16_080812.dll的备份文件。其中病毒进程svch0st.exe加载lwizyy16_080812.dll动态链接库,用以关闭杀软或者模仿按钮操作,其文件主要字符串如下:
e 执



允许执







规则


允许(&a)


跳过
(&s)






……







\n\n
















民主
动防御


统监
控提示
……
瑞星卡卡上网
安全助手 – ie防
漏墙
……
avp.button
……
avp
.alertdialog

病毒进程svch0.exe加载Windows壳Shell相关应用程序接口动态链接库文件shell32.dll,用于后台开启IEexpleore.exe进程,并将mwiszcyys32_080812.dll注入到该进程中,连接http://www.baidu.com
http://www.baidu.com/img/baidu_****.gif测试网络是否接入因特网。如果网络畅通就连接以下地址
1)http://cjadmin.***.net/cc/list.htm(219.153.14.**:80)地址,返回加密内容,目的为下载
http://cjadmin.***.net/m/rs.exe(219.153.14.**:80)文件,而rs.exe就是病毒复制的自身文件zayjhxpRes080812.exe
2)向http://las****.com(209.162.178.**:80)网站
Password recovery solutions for Word, Excel, Access, Outlook, SQl, Quickbooks and more. Guaranteed password recovery!(在线破解office系列密码网站)返回信息,信息格式为aus.aspx?lv=1&p=RegSnap&v=1711&n=1217973821&x=&c=82d64a73
3)下载http://cjadmin.***.net/m/jkyx.exe(219.153.14.**:80)该病毒为Tojan-Downloader.Win32.Small.afei。
并向http://cjadmin.***.net(219.153.14.**:80)返回信息。信息格式为:
/cc/active.asp?ver=080816&userid=rs&userbh=&old=0&address=00-0C-29-51-66-64

7、 修改系统%Windir%\win.ini文件,修改后内容如下:
for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
[alexa]
right_tan88=ok
其中[alexa]项为由病毒添加,目的在系统启动时辅助病毒自启动。

8、 系统目录下创建配置文件%system32%\zuoyue32.ini,其内容为对IExplorer.exe的初始化:
[ie]
pm_time=50
pm_count=1
gg_count=1
gg_jg=60
sound=0
ys=90
dx_jg=60

9、 修改注册表添加在启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
键值: zuoyue
字符串: "C:\WINDOWS\system32\inf\svch0st.exe C:\WINDOWS\system32\lwizyy16_080812.dll zyd16"
描述:创建病毒启动项

10、 在系统跟目录下创建批处理文件,进程删除病毒本体,内容如下:
"C:\WINDOWS\system\zayjhxpRes080812.exe" i
del %0
其中C:\WINDOWS\system目录为病毒运行的当前目录。

注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是C:\Windows\System;
WindowsXP中默认的安装路径是C:\Windows\System32。


--------------------------------------------------------------------------------

清除方案

手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天防线或ATool中的“进程管理”关闭病毒进程
关闭svch0st.exe和IExplorer.exe进程
(2) 强行删除病毒文件
%Windir% \system\zayjhxpRes080812.exe
%System32%\inf\scrsyszy080812.scr
%System32%\inf\scrszyys16_080812.dll
%System32%\inf\svch0st.exe
%System32%\lwizyy16_080812.dll
%System32%\mwiszcyys32_080812.dll
%Windir% \zuoyu16.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
键值: zuoyue
字符串: "C:\WINDOWS\system32\inf\svch0st.exe C:\WINDOWS\system32\lwizyy16_080812.dll zyd16"
描述:创建病毒启动项
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章