Trojan-Spy.Win32.Pophot.afw分析查杀方案
Trojan-Spy.Win32.Pophot.afw分析查杀方案
病毒标签:
病毒名称: Trojan-Spy.Win32.Pophot.afw
病毒类型: 木马类
文件 MD5: 45B47482907438DFBF48E3F570B5AC4C
公开范围: 完全公开
危害等级: 4
文件长度: 94,776 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: 未知壳
病毒描述:
该病毒为间谍木马,病毒运行后复制自身到系统目录,并重命名为
ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。添加启动项,
以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收
集的目的。通过恶意网站、其它恶意代码下载传播。
行为分析:
本地行为:
1、 文件运行后会衍生以下文件:
%System32\ccwld16_080305.dll 22,016字节
%System32\ccwld32_080305.dll 181,248字节
%System32\ccwle080305.exe 94,776字节
%Windir%\ccwl16.ini 256字节
2、在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”
目录下添加快捷方式“msword.lnk”,该快捷方式指向:
C:\WINDOWS\system32\ccwle080305.exe,
以达到启动病毒的目的。
3、ccwl16.ini为病毒体配置文件,该病毒体在释放文件前读取该配置文件信息,
具体信息如下:
[hitpop]
ver=080305
kv=0
[exe]
fn=C:\WINDOWS\system32\ccwle080305.exe
[dll_hitpop]
fn=C:\WINDOWS\system32\ccwld32_080305.dll
[dll_start]
fn=C:\WINDOWS\system32\ccwld16_080305.dll
[ie]
run=no
[alexa]
right_tan88=ok
[sys]
bat=c:\ccwlDelmt.bat
4、跳过IE执行保护,瑞星卡卡上网安全助手弹出对话框,及IE其它安全警告对话框;
达到更好的隐藏自身。
网络行为:
1、 后台开启IE,注入ccwld32_080305.dll,连接网络:
218.2.25.***:下载病毒列表
218.2.25.***:下载病毒080221.exe
还会下载其它网页信息。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
-------------------------------------------------------------------------------- Trojan-Spy.Win32.Pophot.afw分析查杀方案
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:www.antiy.com。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线或ATool中的“进程管理”关闭病毒进程:
关闭后台开启的IE进程
(2)强行删除病毒文件:
System32\ccwld16_080305.dll 22,016字节
%System32\ccwld32_080305.dll 181,248字节
%System32\ccwle080305.exe 94,776字节
%Windir%\ccwl16.ini 256字节
%\Documents and Settings%\All Users\
「开始」菜单\程序\启动\ msword.lnk
(3)清空IE临时文件夹与历史记录,以彻底删除病毒下载相关文件。
文章评论
共有 0人发表了评论 查看完整内容