病毒描述
該病毒為間諜類木馬,病毒運行後查找CabinetWClass類名的視窗,找到該視窗後調用API函式枚舉該視窗的子視窗通過調用SendMessageA向該視窗傳送訊息並卻在該視窗捕獲訊息,獲取進程句丙修改訪問許可權,如發現RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe進程就調用ntsd命令強行關閉,遍歷進程查找avp.exe,找到該進程後將系統時間設定為1987年,在%System32%\目錄下建立資料夾inf並拷貝%System32%\目錄下的rundll32.exe到inf目錄下重命名為svchost.exe,衍生病毒檔案wftadfi16_080908a.dll、dcbdcatys32_080908a.dll(該病毒檔案為查找雅虎和IE保護選項的視窗,並按提示做出相對的回應)到%Windir%目錄下,衍生病毒檔案sppdcrs080908.scr(該檔案為病毒自身)、scsys16_080908.dll(該檔案模擬滑鼠點擊操作以達到躲避病毒安全軟體的主動提示,模擬點擊操作為允許)到%System32%\inf目錄下,添加註冊表啟動項目使用rundll32.exe載入病毒DLL檔案,並在%Windir%目錄下創建配置檔案tawisys.ini存放衍生的病毒路徑,衍生mywfhit.ini到System32目錄下mywfhit.ini檔案記錄病毒更新情況,病毒會不定期開啟iexploe.exe連線網路下載病毒檔案更新自身。
行為分析
本地行為
1、檔案運行後會釋放以下檔案,病毒全部為隨機病毒名
%system32%\inf\svchoct.exe
%system32%\inf\sppdcrs080908.scr
%system32%\inf\scsys16_080908.dll
%system%\sgcxcxxaspf080908.exe
%system32%\mywfhit.ini
%system32%\tmpacj0.exe
%Windir%\tawisys.ini
%Windir%\wftadfi16_080908a.dll
%Windir%\dcbdcatys32_080908a.dll
2、修改註冊表項,改變桌面顯示設定
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\minyust
值: 字元串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080908a.dll tan16d"
描述:使用rundll32.exe載入病毒DLL檔案。
3、找到該視窗後調用API函式枚舉該視窗的子視窗通過調用SendMessageA向該視窗傳送訊息並卻在該視窗捕獲訊息,獲取進程句丙修改訪問許可權,如發現RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe進程就調用ntsd.exe -c q -p命令強行關閉。
4、遍歷進程查找avp.exe,找到該進程後將系統時間設定為1987年,查找雅虎和IE保護選項的視窗,並按提示做出相對的回應,模擬滑鼠點擊操作以達到躲避病毒安全軟體的主動提示,模擬點擊操作為允許,使用rundll32.exe載入病毒DLL檔案,病毒會不定期開啟iexploe.exe連線網路下載病毒檔案更新自身。
網路行為
連線以下網站下載病毒檔案
http://www.l****.cn/01/list.htm (讀取該地址的加密內容,加密內容為病毒EXE下載地址)
http://www.l****.cn/lkmoj.exe (連線解密後的地址下載病毒檔案到本地更新自身)
註:下載的病毒檔案為病毒更新檔案,更新自身。
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是%system32%
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL進程管理找到iexplore.exe進程關閉該進程,找到inf目錄下的svchost.exe進程將其進程結束。
(2) 刪除註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polic ies\Explorer\run\minyust
值: 字元串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080908a.dll tan16d"
(3) 刪除病毒添加的註冊表啟動項
%system32%\inf\svchoct.exe
%system32%\inf\sppdcrs080908.scr
%system32%\inf\scsys16_080908.dll
%system%\sgcxcxxaspf080908.exe
%system32%\mywfhit.ini
%system32%\tmpacj0.exe
%Windir%\tawisys.ini
%Windir%\wftadfi16_080908a.dll
%Windir%\dcbdcatys32_080908a.dll
或打開%Windir%\目錄下的tawisys.ini檔案,按病毒絕對路徑將病毒檔案全部刪除