Trojan.Spy.Win32.Pophot.cme

王朝百科·作者佚名 2010-04-30

宽屏版字体: 小|中|大|超大

病毒标签病毒名称： Trojan-Spy.Win32.Pophot.cme

病毒类型：间谍木马

文件 MD5： 366698F5D861082102E87D39F6317909

公开范围：完全公开

危害等级： 4

文件长度： 124,896 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： WinUpack 0.39 final -> By Dwing

病毒描述该病毒为间谍类木马，病毒运行后查找CabinetWClass类名的窗口，找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息，获取进程句丙修改访问权限，如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭，在%System32%目录下建立文件夹inf并拷贝%System32%目录下的rundll32.exe到inf目录下重命名为svchost.exe，衍生病毒文件wftadfi16_080921a.dll、dcbdcatys32_080921a.dll（该病毒文件为查找雅虎和IE保护选项的窗口，并按提示做出相对的回应）到%Windir%目录下，衍生病毒文件sppdcrs080921.scr（该文件为病毒自身）、scsys16_080921.dll（该文件模拟鼠标点击操作以达到躲避病毒安全软件的主动提示，模拟点击操作为允许）到%System32%inf目录下，添加注册表启动项目使用rundll32.exe加载病毒DLL文件，并在%Windir%目录下创建配置文件tawisys.ini存放衍生的病毒路径，衍生mywfhit.ini到System32目录下mywfhit.ini文件记录病毒更新情况，病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。

行为分析本地行为

1、文件运行后会释放以下文件，病毒全部为随机病毒名

%system32%infsvchoct.exe

%system32%infsppdcrs080921.scr

%system32%infscsys16_080921.dll

%system%sgcxcxxaspf080921.exe

%system32%mywfhit.ini

%system32%mpacj0.exe

%Windir%awisys.ini

%Windir%wftadfi16_080921a.dll

%Windir%dcbdcatys32_080921a.dll

2、修改注册表项，改变桌面显示设置

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

unminyust

值: 字符串: "C:WINDOWSsystem32infsvchoct.exe C:WINDOWSwftadfi16_080921a.dll tan16d"

描述：使用rundll32.exe加载病毒DLL文件

3、找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并却在该窗口捕获消息，获取进程句丙修改访问权限，如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd.exe -c q -p命令强行关闭。

4、查找雅虎和IE保护选项的窗口，并按提示做出相对的回应, 模拟鼠标点击操作以达到躲避病毒安全软件的主动提示，模拟点击操作为允许，使用rundll32.exe加载病毒DLL文件，病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。

网络行为

连接以下网站下载病毒文件

http://k****.com/list.htm （读取该地址的加密内容，加密内容为病毒EXE下载地址）

http://www.p****.com/comine/cool.exe

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%逻辑驱动器根目录

%ProgramFiles%系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% Documents and Settings