Trojan-Spy.Win32.Pophot.aoe分析
网络转帖,无样本病毒类型: 木马
文件 MD5: 80AED462589911EDA61D07B06A3BA321
文件长度: 91,756 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi v3.0 *
加壳类型: WinUpack 0.39 final -> By Dwing
[b]病毒描述:[/b]
该病毒为木马类,病毒运行后在All Users用户文档的启动文件夹下创建快捷方式并将文件路径指向病毒文件,达到随系统启动的目的。运行后删除自身。后台运行iexplorer.exe,run32dll.exe并连接网络下载病毒文件,下载后的文件自动运行并释放到系统目录下。并通过遍历进程枚举卡巴斯基、雅虎助手、、瑞星卡卡等的子窗口,如发现则模拟发送按钮消息,使病毒通过以上拦截的警告,试图修改系统时间使依赖系统时间的软件无效,将病毒主页添加到收藏夹。通过连接网络向指定地址返回用户的信息,ip,ip归属地等重要信息。
[b]行为分析:[/b]
本地行为:
1、文件运行后会释放以下文件
[table=95%][tr][td] %Documents and Settings%\All Users\「开始」菜单\程序\启动\msword.lnk
%Windir%\ccwl16.ini
%System%\ccwlae080409.exe
%System%\ccwld16_080409.dll
%System%\ccwld32_080409.dll
%System%\config\software.LOG
%Windir%\win.ini[/td][/tr][/table]
2、新增注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\c:\ccwlDelmt.bat
键值: ccwlDelmt.bat
字符串: "ccwlDelmt"
描述:创建批处理文件,目的删除病毒原文件。
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\c:\ccwltccj.bat
键值: ccwltccj.bat
字符串: "ccwltccj"
描述:创建批处理文件,目的删除病毒原文件。
3、msword.lnk快捷方式的指向路径是%System%\ccwlae080409.exe
4、监视的子窗口,ccwld32_080409.dll和ccwld16_080409.dll关键字符串如下:
[table=95%][tr][td] 通信监控:终止连接
AVP.TrafficMonConnectionTerm
否
AVP.Button
添加到收藏夹
取消
主页
否(&N)
安全设置警告
否(&N)
Button
TMessageForm
OK
插件拦截提示
是
Button
隐私警报
将我的决定应用到来自此网站的所有 cookie(&D)
Button
允许 Cookie(&A)
雅虎助手 — 信息提示
不再显示此信息(&D)
Button
确定
Microsoft Internet Explorer
确定
Button
文件下载
取消
Button
雅虎助手广告拦截
下次不显示此提示框
IE 执
行保
护
允
许
执
行
确
定
允
许
创
建
规
则
允
许
允
许
(
&
A
)
跳
过
瑞星卡卡
Bu
Tton
I
E
执行保护[/td][/tr][/table]
[b]网络行为:[/b]
1、连接网络, 下载病毒文件。
协议:TCP
域名或IP地址:[url=http://www.ad8da.com.cn]www.ad8da.com.cn[/url]
端口:80
2、连接网络,返回用户信息。
协议:TCP
域名或IP地址:[url=http://www.chch17.com.cn]www.chch17.com.cn[/url]
端口:80
3、连接网络下载病毒文件:
连接网络:
[url=http://www.ad8da.com.cn/08021.exe]www.ad8da.com.cn/08021.exe[/url] (222.184.127.14)
下载病毒文件并自动运行删除自身:
[table=95%][tr][td] %Windir%\ccwl16.ini
%System%\ccwlae080409.exe
%System%\ccwld16_080409.dll
%System%\ccwld32_080409.dll
%System%\config\software.LOG
%Windir%\win.ini[/td][/tr][/table]
4、连接网络返回信息:
连接网络:
[url=http://www.chch17.com.cn/list.htm]www.chch17.com.cn/list.htm[/url](222.184.127.12)
返回信息内容:
ok219.147.182.145,黑龙江省哈尔滨市,电信
[b]代码分析[/b]
1、向瑞星卡卡助手、AVP、雅虎助手发送模拟终止按钮信息
[img]http://resource.communicatte.com/photo/view/feab12603bf09caf/9460ff0d381bcfa6512095647546e96f?d.jpg[/img]
[img]http://resource.communicatte.com/photo/view/feab12603bf09caf/0888c65fb9105ad8a3ff4a74f0b1cbeb?d.jpg[/img]
[img]http://resource.communicatte.com/photo/view/feab12603bf09caf/30402aeb0e32a9536b6da6ee31d6f8a0?d.jpg[/img]
[img]http://resource.communicatte.com/photo/view/feab12603bf09caf/03a4e9d6f819bd3cbb75e95807aecda6?d.jpg[/img]
2、更改Windows浏览器IE安全设置,达到病毒可以顺利的运行并下载;试图将病毒页添加到收藏夹。
[img]http://resource.communicatte.com/photo/view/feab12603bf09caf/f87bbfc237ed6ab46e7a9fb401fa1841?d.jpg[/img]
[img]http://resource.communicatte.com/photo/view/feab12603bf09caf/8f1ff89e8faf8a126364f9e2622089cc?d.jpg[/img]
[img]http://resource.communicatte.com/photo/view/feab12603bf09caf/6c3ddb6bd2cc52f6edadc44d045755ca?d.jpg[/img]
[img]http://resource.communicatte.com/photo/view/feab12603bf09caf/a7591544a0bc9ded995c45c3fc5204f7?d.jpg[/img]
[img]http://resource.communicatte.com/photo/view/feab12603bf09caf/5f57693d0bd88cde872944ded0f9db95?d.jpg[/img]
[b]清除方案:[/b]
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:[url]www.antiy.com[/url] 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: [url]www.antiy.com[/url]或[url]http://www.antiy.com/download/index.htm[/url] 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
Rundll32.exe和iexplorer.exe
(2) 强行删除病毒文件
[table=95%][tr][td]%DocumentsandSettings%\AllUsers\「开始」菜单\程序\启动\msword.lnk
%Windir%\ccwl16.ini
%System%\ccwlae080409.exe
%System%\ccwld16_080409.dll
%System%\ccwld32_080409.dll
%System%\config\software.LOG
%Windir%\win.ini
[/td][/tr][/table]
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\c:\ccwlDelmt.bat
键值: ccwlDelmt.bat
字符串: "ccwlDelmt"
描述:创建批处理文件,目的删除病毒原文件。
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\c:\ccwltccj.bat
键值: ccwltccj.bat
字符串: "ccwltccj"
描述:创建批处理文件,目的删除病毒原文件。
[[i] 本帖最后由 zwl2828 于 2008-7-3 09:49 编辑 [/i]] 病毒描述,看的有点晕晕的,建议加亮重点部分
行为分析写的很好,很有条理,赞个
防范对策与手杀方法,没写 FD:重者恒重
[quote]
[color=blue]%Documents and Settings%\All Users\「开始」菜单\程序\启动\msword.lnk
%Windir%\ccwl16.ini
%System%\ccwlae080409.exe
%System%\ccwld16_080409.dll
%System%\ccwld32_080409.dll
%System%\config\software.LOG
%Windir%\win.ini[/color]
[/quote]
[quote]
AD、ND很容易监控病毒行为。
一是自身启动,一是启动其他进程:[color=blue]Rundll32.exe[/color]和[color=blue]iexplorer.exe[/color]
[color=blue][/color]
[color=blue]如果[color=red]rundll32.exe\cmd.exe\iexplorer.exe[/color]被其他进程启动,就要注意了。
[/color][color=blue][color=black][/quote][/color]
[/color]
[[i] 本帖最后由 pils 于 2008-7-3 15:29 编辑 [/i]]
页:
[1]