当前位置: SUCOP 超级巡警 >> 安全新闻 >> 资讯阅读
Trojan-Spy.Win32.Pophot.bmx(twisys.ini,sgcxcxxaspf.exe)病毒分析
出处:超级巡警 时间:2008年07月25日13:53 查看:... 次 超级巡警
近日,超级巡警团队捕获到恶意程序Trojan-Spy.Win32.Pophot的多个变种,此类恶意程序会通过模拟鼠标单击事件、添加到相关软件的白名单等方法来绕过部份安全工具的监控和IE相关插件对文件下载等的拦截。超级巡警团队提醒广大用户,及时更新病毒库,对此类程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Spy.Win32.Pophot.bmx
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:113,836(字节)
SHA1 :4712dba8df327b81fe03f63be6891fcfde1b6569
加壳类型:UPack
开发工具:Delphi
病毒行为:
1、程序运行后释放如下文件:
%System%\inf\sppdcrs******.scr
%System%\inf\scsys16_******.dll
%Windir%\system\sgcxcxxaspf******.exe
%Windir%\tdcbdcasys32_******.dll
%Windir%\twftadfia16_******.dll
%Windir%\twisys.ini //恶意程序配置文件
//以上******代表恶意程序发布日期,如:080615
并将文件%System%\rundll32.exe复制为%System%\inf\svchostc.exe
2、调用“svchostc.exe %Windir%\twftadfia16_******.dll tanlt88”执行文件twftadfia16_******.dll。调用IE访问google和baidu的部份搜索页,根据访问结果判断是否处于连网状态,并调用IE程序,访问网络,下载其他恶意程序。
3、在开始菜单添加文件office.lnk。
office.lnk指向程序%Windir%\system\sgcxcxxaspf******.exe,使其在系统启动里加载。
4、如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭。并通过模拟鼠标单击事件,关闭或跳过含有以下字符串的对话框,以此通过安全软件的防护功能
AVP.AlertDialog
AVP.Product_Notification
AVP.TrafficMonConnectionTerm
瑞星卡卡上网安全助手-IE防漏墙
IE执行保护
瑞星主动防御
江民主动防御之木马一扫光
5、添加自身到百度搜霸、雅虎助手、googlebar的白名单中,并按程序指定的方式对雅虎和IE的一些提示做出回应。
6、记录并提交计算机的MAC地址与操作系统版本
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、使用超级巡警的进程管理功能,终止恶意程序打开的IE进程和进程svchostc.exe。
2、删除以上提到的恶意程序释放的文件。
3、在开始菜单中的启动项中删除恶意程序的启动项office.lnk。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可
写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要随便打开不明来历的电子邮件,尤其是邮件附件。
9、不要随意下载不安全网站的文件并运行。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Spy.Win32.Pophot.bmx
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:113,836(字节)
SHA1 :4712dba8df327b81fe03f63be6891fcfde1b6569
加壳类型:UPack
开发工具:Delphi
病毒行为:
1、程序运行后释放如下文件:
%System%\inf\sppdcrs******.scr
%System%\inf\scsys16_******.dll
%Windir%\system\sgcxcxxaspf******.exe
%Windir%\tdcbdcasys32_******.dll
%Windir%\twftadfia16_******.dll
%Windir%\twisys.ini //恶意程序配置文件
//以上******代表恶意程序发布日期,如:080615
并将文件%System%\rundll32.exe复制为%System%\inf\svchostc.exe
2、调用“svchostc.exe %Windir%\twftadfia16_******.dll tanlt88”执行文件twftadfia16_******.dll。调用IE访问google和baidu的部份搜索页,根据访问结果判断是否处于连网状态,并调用IE程序,访问网络,下载其他恶意程序。
3、在开始菜单添加文件office.lnk。
office.lnk指向程序%Windir%\system\sgcxcxxaspf******.exe,使其在系统启动里加载。
4、如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭。并通过模拟鼠标单击事件,关闭或跳过含有以下字符串的对话框,以此通过安全软件的防护功能
AVP.AlertDialog
AVP.Product_Notification
AVP.TrafficMonConnectionTerm
瑞星卡卡上网安全助手-IE防漏墙
IE执行保护
瑞星主动防御
江民主动防御之木马一扫光
5、添加自身到百度搜霸、雅虎助手、googlebar的白名单中,并按程序指定的方式对雅虎和IE的一些提示做出回应。
6、记录并提交计算机的MAC地址与操作系统版本
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、使用超级巡警的进程管理功能,终止恶意程序打开的IE进程和进程svchostc.exe。
2、删除以上提到的恶意程序释放的文件。
3、在开始菜单中的启动项中删除恶意程序的启动项office.lnk。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可
写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要随便打开不明来历的电子邮件,尤其是邮件附件。
9、不要随意下载不安全网站的文件并运行。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
责任编辑:yzh
评论本文
