科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Trojan-Spy.Win32.Pophot.bmx(twisys.ini,sgcxcxxaspf.exe)病毒分析

Trojan-Spy.Win32.Pophot.bmx(twisys.ini,sgcxcxxaspf.exe)病毒分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近日,超级巡警团队捕获到恶意程序Trojan-Spy.Win32.Pophot的多个变种,此类恶意程序会通过模拟鼠标单击事件、添加到相关软件的白名单等方法来绕过部份安全工具的监控和IE相关插件对文件下载等的拦截。超级巡警团队提醒广大用户,及时更新病毒库,对此类程序进行有效查杀。

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒查杀 病毒

  • 评论
  • 分享微博
  • 分享邮件
近日,超级巡警团队捕获到恶意程序Trojan-Spy.Win32.Pophot的多个变种,此类恶意程序会通过模拟鼠标单击事件、添加到相关软件的白名单等方法来绕过部份安全工具的监控和IE相关插件对文件下载等的拦截。超级巡警团队提醒广大用户,及时更新病毒库,对此类程序进行有效查杀。

一、病毒相关分析:

        病毒标签:
        病毒名称:Trojan-Spy.Win32.Pophot.bmx
        病毒类型:木马
        危害级别:3
        感染平台:Windows
        病毒大小:113,836(字节)
        SHA1   :4712dba8df327b81fe03f63be6891fcfde1b6569
        加壳类型:UPack
        开发工具:Delphi

     病毒行为:

        1、程序运行后释放如下文件:
    %System%\inf\sppdcrs******.scr    
    %System%\inf\scsys16_******.dll
    %Windir%\system\sgcxcxxaspf******.exe
    %Windir%\tdcbdcasys32_******.dll
    %Windir%\twftadfia16_******.dll
    %Windir%\twisys.ini                //恶意程序配置文件
    //以上******代表恶意程序发布日期,如:080615
    并将文件%System%\rundll32.exe复制为%System%\inf\svchostc.exe

        2、调用“svchostc.exe %Windir%\twftadfia16_******.dll tanlt88”执行文件twftadfia16_******.dll。调用IE访问google和baidu的部份搜索页,根据访问结果判断是否处于连网状态,并调用IE程序,访问网络,下载其他恶意程序。

        3、在开始菜单添加文件office.lnk。
    office.lnk指向程序%Windir%\system\sgcxcxxaspf******.exe,使其在系统启动里加载。

        4、如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭。并通过模拟鼠标单击事件,关闭或跳过含有以下字符串的对话框,以此通过安全软件的防护功能
      AVP.AlertDialog
      AVP.Product_Notification
      AVP.TrafficMonConnectionTerm
      瑞星卡卡上网安全助手-IE防漏墙
      IE执行保护
      瑞星主动防御
      江民主动防御之木马一扫光

        5、添加自身到百度搜霸、雅虎助手、googlebar的白名单中,并按程序指定的方式对雅虎和IE的一些提示做出回应。

        6、记录并提交计算机的MAC地址与操作系统版本


二、解决方案


推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
           超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
       1、使用超级巡警的进程管理功能,终止恶意程序打开的IE进程和进程svchostc.exe。
       2、删除以上提到的恶意程序释放的文件。
       3、在开始菜单中的启动项中删除恶意程序的启动项office.lnk。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章