捕獲時間
2008-10-12
病毒摘要
該樣本是使用“Delphi”編寫的“間諜程序”����,由微點主動防御軟件自動捕獲,采用“UPACK”加殼方式試圖躲避特征碼掃描,加殼后長度為“124,896 字節”��,圖標為“
”���,使用“exe”擴展名����,通過“網頁木馬”、“可移動存儲介質”等植入用戶計算機�����,運行后竊取用戶信息并下載其他木馬程序到本地執行�����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置�,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞��。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本��,微點將報警提示您發現"Trojan-Spy.Win32.Pophot.cen”�,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1�����、不要在不明站點下載非官方版本的軟件進行安裝����,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺��,并開啟防火墻攔截網絡異常訪問�,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3�、開啟windows自動更新��,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后��,查詢當前進程中是否存在“avp.exe”,若存在則修改系統時間試圖使其防御監控失效�����;分別拷貝自身到目錄%SystemRoot%\system32\inf以及系統目錄 %SystemRoot%\system下重新命名為“sppdcrs080921.scr與“sgcxcxxaspf080921.exe”��;拷貝“rundll32.exe”到%SystemRoot%\system32\inf目錄下�,并在同目錄與%SystemRoot%\下釋放動態鏈接庫文件“scsys16_080921.dll”�����、“dcbdcatys32_080921a.dll”、“wftadfi16_080921a.dll”;修改如下注冊表健值使得開機自動加載文件wftadfi16_080921a.dll,后使用批處理執行自刪除�����。
| |
項:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
鍵值:minyust
指向數據:
C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080921a.dll tan16d |
|
動態庫文件“wftadfi16_080921a.dll”被執行后���,查找含有如下字符串的窗口
| |
江民主動防御
瑞星主動防御
瑞星卡卡上網安全助手
Ie防漏墻
卡巴主動防御 |
|
找到后模擬鼠標點擊使其對病毒動作放行���;修改相應注冊表開啟自動播放功能���,枚舉盤符在各分區和移動存儲介質中釋放隱藏病毒文件“auto.exe”與“autorun.inf”���,
使用Windows自動播放功能來傳播病毒�����。
使用API函數WinExec以隱藏方式啟動IE��,依據類名“IEFrame”查找IE進程“iexplore.exe”,找到后申請內存空間將動態庫“dcbdcatys32_080921a.dll”寫入,使用遠程線程在iexplore.exe中開啟一病毒線程�。
病毒遠程線程執行后�����,遍歷進程查找,如果存在則使用命令“ntsd -c q -p”終止
| |
runiep.exe
kregex.exe
kvxp.kxp
360tray.exe |
|
修改如下注冊表鍵值使調用瀏覽器時不彈出瀏覽器關聯設置對話框:
| |
項:HKCU\Software\Microsoft\Internet Explorer\Main\
健值:Check_Associations
指向數據:no |
|
通過ping“www.baidu.com”和“www.google.cn”判斷用戶機器是否聯網,如聯網則讀取病毒釋放的配置文件“tawisys.ini”把當前所中病毒版本發送到相應網址��,如果樣本不是最新則下載最新病毒程序并運行�,搜集用戶主機信息發送給病毒種植者,并訪問惡意網頁http://www.v***50.cn/01/list.htm。
其中配置文件tawisys.ini部分信息如下:
| |
[temp]
myf=e
[hitpop]
auto=auto.exe
first=1
ver=080921
kv=0
[exe]
fn=C:\WINDOWS\system\sgcxcxxaspf080921.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\sppdcrs080921.scr
[dll_hitpop]
fn=C:\WINDOWS\dcbdcatys32_080921a.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scsys16_080921.dll
[dll_start]
fn=C:\WINDOWS\wftadfi16_080921a.dll |
|
