科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Trojan-Spy.Win32.Pophot.chm(svchoct.exe,sppdcrs080908.scr )分析

Trojan-Spy.Win32.Pophot.chm(svchoct.exe,sppdcrs080908.scr )分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒为间谍类木马,病毒运行后查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息,获取进程句丙修改访问权限

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
该病毒为间谍类木马,病毒运行后查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息,获取进程句丙修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,遍历进程查找avp.exe,找到该进程后将系统时间设置为1987年,在%System32%\目录下建立文件夹inf并拷贝%System32%\目录下的rundll32.exe到inf目录下重命名为svchost.exe,衍生病毒文件wftadfi16_080908a.dll、dcbdcatys32_080908a.dll(该病毒文件为查找雅虎和IE保护选项的窗口,并按提示做出相对的回应)到%Windir%目录下,衍生病毒文件sppdcrs080908.scr(该文件为病毒自身)、scsys16_080908.dll(该文件模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许)到%System32%\inf目录下,添加注册表启动项目使用rundll32.exe加载病毒DLL文件,并在%Windir%目录下创建配置文件tawisys.ini存放衍生的病毒路径,衍生mywfhit.ini到System32目录下mywfhit.ini文件记录病毒更新情况,病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。
行为分析-本地行为


1、文件运行后会释放以下文件,病毒全部为随机病毒名
%system32%\inf\svchoct.exe
%system32%\inf\sppdcrs080908.scr
%system32%\inf\scsys16_080908.dll
%system%\sgcxcxxaspf080908.exe
%system32%\mywfhit.ini
%system32%\tmpacj0.exe
%Windir%\tawisys.ini
%Windir%\wftadfi16_080908a.dll
%Windir%\dcbdcatys32_080908a.dll

2、修改注册表项,改变桌面显示设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\minyust
值: 字符串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080908a.dll tan16d"
描述:使用rundll32.exe加载病毒DLL文件。

3、找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息,获取进程句丙修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd.exe -c q -p命令强行关闭。

4、遍历进程查找avp.exe,找到该进程后将系统时间设置为1987年,查找雅虎和IE保护选项的窗口,并按提示做出相对的回应,模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许,使用rundll32.exe加载病毒DLL文件,病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。

行为分析-网络行为


连接以下网站下载病毒文件
http://www.l****.cn/01/list.htm (读取该地址的加密内容,加密内容为病毒EXE下载地址)
http://www.l****.cn/lkmoj.exe (连接解密后的地址下载病毒文件到本地更新自身)
注:下载的病毒文件为病毒更新文件,更新自身。

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
     %Windir%             WINDODWS所在目录
     %DriveLetter%          逻辑驱动器根目录
     %ProgramFiles%          系统程序默认安装目录
     %HomeDrive%           当前启动的系统的所在分区
     %Documents and Settings%    当前用户文档根目录
     %Temp%             \Documents and Settings
                     \当前用户\Local Settings\Temp
     %System32%            系统的 System32文件夹
    
     Windows2000/NT中默认的安装路径是C:\Winnt\System32
     windows95/98/me中默认的安装路径是C:\Windows\System
     windowsXP中默认的安装路径是%system32%


--------------------------------------------------------------------------------

清除方案

手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”找到iexplore.exe进程关闭该进程,找到inf目录下的svchost.exe进程将其进程结束。

(2) 删除注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polic ies\Explorer\run\minyust
值: 字符串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080908a.dll tan16d"

(3) 删除病毒添加的注册表启动项
%system32%\inf\svchoct.exe
%system32%\inf\sppdcrs080908.scr
%system32%\inf\scsys16_080908.dll
%system%\sgcxcxxaspf080908.exe
%system32%\mywfhit.ini
%system32%\tmpacj0.exe
%Windir%\tawisys.ini
%Windir%\wftadfi16_080908a.dll
%Windir%\dcbdcatys32_080908a.dll
或打开%Windir%\目录下的tawisys.ini文件,按病毒绝对路径将病毒文件全部删除
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章