Trojan-Spy.Win32.Pophot.cme

病毒標籤

檔案 MD5： 366698F5D861082102E87D39F6317909

檔案長度： 124,896 位元組

感染系統： Windows98以上版本

開發工具： Borland Delphi 6.0 - 7.0

加殼類型： WinUpack 0.39 final -> By Dwing

病毒描述

如發現RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe進程就調用ntsd命令強行關閉，在%System32%\目錄下建立資料夾inf並拷貝%System32%\目錄下的rundll32.exe到inf目錄下重命名為svchost.exe，衍生病毒檔案wftadfi16_080921a.dll、dcbdcatys32_080921a.dll（該病毒檔案為查找雅虎和IE保護選項的視窗，並按提示做出相對的回應）到%Windir%目錄下，衍生病毒檔案sppdcrs080921.scr（該檔案為病毒自身）、scsys16_080921.dll（該檔案模擬滑鼠點擊操作以達到躲避病毒安全軟體的主動提示，模擬點擊操作為允許）到%System32%\inf目錄下，添加註冊表啟動項目使用rundll32.exe載入病毒DLL檔案，並在%Windir%目錄下創建配置檔案tawisys.ini存放衍生的病毒路徑，衍生mywfhit.ini到System32目錄下mywfhit.ini檔案記錄病毒更新情況，病毒會不定期開啟iexploe.exe連線網路下載病毒檔案更新自身。

行為分析

本地行為

1、檔案運行後會釋放以下檔案，病毒全部為隨機病毒名

%system32%\inf\svchoct.exe

%system32%\inf\sppdcrs080921.scr

%system32%\inf\scsys16_080921.dll

%system%\sgcxcxxaspf080921.exe

%system32%\mywfhit.ini

%system32%\tmpacj0.exe

%Windir%\tawisys.ini

%Windir%\wftadfi16_080921a.dll

%Windir%\dcbdcatys32_080921a.dll

2、修改註冊表項，改變桌面顯示設定

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\minyust

值: 字元串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080921a.dll tan16d"

描述：使用rundll32.exe載入病毒DLL檔案

3、找到該視窗後調用API函式枚舉該視窗的子視窗通過調用SendMessageA向該視窗傳送訊息並卻在該視窗捕獲訊息，獲取進程句丙修改訪問許可權，如發現RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe進程就調用ntsd.exe -c q -p命令強行關閉。

4、查找雅虎和IE保護選項的視窗，並按提示做出相對的回應, 模擬滑鼠點擊操作以達到躲避病毒安全軟體的主動提示，模擬點擊操作為允許，使用rundll32.exe載入病毒DLL檔案，病毒會不定期開啟iexploe.exe連線網路下載病毒檔案更新自身。

網路行為

連線以下網站下載病毒檔案

http://k****.com/list.htm （讀取該地址的加密內容，加密內容為病毒EXE下載地址）

http://www.p****.com/comine/cool.exe

註：%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。

%Windir% 　 　 WINDODWS所在目錄

%DriveLetter%　 　 邏輯驅動器根目錄

%ProgramFiles%　 　 　 系統程式默認安裝目錄

%HomeDrive% 　 當前啟動的系統的所在分區

%Documents and Settings% 　 當前用戶文檔根目錄

%Temp% 　\Documents and Settings

\當前用戶\Local Settings\Temp

%System32% 　 系統的 System32資料夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是C:\Windows\System

windowsXP中默認的安裝路徑是%system32%

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

（1）使用安天防線或ATOOL進程管理找到iexplore.exe進程關閉該進程，找到inf目錄下的svchost.exe進程將其進程結束。

（2）刪除註冊表啟動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\minyust

值: 字元串: "C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_080921a.dll tan16d"

（3）刪除病毒添加的註冊表啟動項

%system32%\inf\svchoct.exe

%system32%\inf\sppdcrs080921.scr

%system32%\inf\scsys16_080921.dll

%system%\sgcxcxxaspf080921.exe

%system32%\mywfhit.ini

%system32%\tmpacj0.exe

%Windir%\tawisys.ini

%Windir%\wftadfi16_080921a.dll

%Windir%\dcbdcatys32_080921a.dll

或打開%Windir%\目錄下的tawisys.ini檔案，按病毒絕對路徑將病毒檔案全部刪除