近日,超级巡警团队捕获到恶意程序Trojan-Spy.Win32.Pophot的多个变种,此类恶意程序会通过模拟鼠标单击事件、添加到相关软件的白名单等方法来绕过部份安全工具的监控和IE相关插件对文件下载等的拦截。超级巡警团队提醒广大用户,及时更新病毒库,对此类程序进行有效查杀。
近日,超级巡警团队捕获到恶意程序Trojan-Spy.Win32.Pophot的多个变种,此类恶意程序会通过模拟鼠标单击事件、添加到相关软件的白名单等方法来绕过部份安全工具的监控和IE相关插件对文件下载等的拦截。超级巡警团队提醒广大用户,及时更新病毒库,对此类程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Spy.Win32.Pophot.bmx
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:113,836(字节)
SHA1 :4712dba8df327b81fe03f63be6891fcfde1b6569
加壳类型:UPack
开发工具:Delphi
病毒行为:
1、程序运行后释放如下文件:
%System%\inf\sppdcrs******.scr
%System%\inf\scsys16_******.dll
%Windir%\system\sgcxcxxaspf******.exe
%Windir%\tdcbdcasys32_******.dll
%Windir%\twftadfia16_******.dll
%Windir%\twisys.ini //恶意程序配置文件
//以上******代表恶意程序发布日期,如:080615
并将文件%System%\rundll32.exe复制为%System%\inf\svchostc.exe
2、调用“svchostc.exe %Windir%\twftadfia16_******.dll tanlt88”执行文件twftadfia16_******.dll。调用IE访问google和baidu的部份搜索页,根据访问结果判断是否处于连网状态,并调用IE程序,访问网络,下载其他恶意程序。
3、在开始菜单添加文件office.lnk。
office.lnk指向程序%Windir%\system\sgcxcxxaspf******.exe,使其在系统启动里加载。
4、如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭。并通过模拟鼠标单击事件,关闭或跳过含有以下字符串的对话框,以此通过安全软件的防护功能
AVP.AlertDialog
AVP.Product_Notification
AVP.TrafficMonConnectionTerm
瑞星卡卡上网安全助手-IE防漏墙
IE执行保护
瑞星主动防御
江民主动防御之木马一扫光
5、添加自身到百度搜霸、雅虎助手、googlebar的白名单中,并按程序指定的方式对雅虎和IE的一些提示做出回应。
6、记录并提交计算机的MAC地址与操作系统版本
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、使用超级巡警的进程管理功能,终止恶意程序打开的IE进程和进程svchostc.exe。
2、删除以上提到的恶意程序释放的文件。
3、在开始菜单中的启动项中删除恶意程序的启动项office.lnk。