天高云淡

让我们关注互联网!关注世界!

天高云淡 header image 2
“POPHOT点击器变种BV”病毒技术 “自动运行变种J”病毒技术

“POPHOT点击器变种BV”病毒

2007年11月20日      打印 打印

危险等级:★★★
病毒名称:Trojan.Clicker.Win32.PopHot.bv
截获时间:2007-10-8
入库版本:19.44.10
类型:木马

感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况:

传播级别:低

全球化传播态势:低

破坏力:木马

破坏手段:通过点击指定网站增加其点击量,具有反杀毒软件的功能

此程序为Trojan类型程序

1.在Windows\System32路径下创建inf文件夹做为它的备份文件夹。

2.在Windows路径下创建mwinsys.ini文件用来记录病毒的配置信息,配置信息包括病毒的版本、系统中杀毒软件个数、主文件所在路径、动态库所在路径、备份文件所在路径等
具体格如下:
[hitpop]
first=1 ;是否是第一次感染
ver=070930 ;版本
kv=0 ;杀毒软件个数
[exe]
fn_pif=d:\myplayer.com
fn=C:\WINNT\System\AlxRes070930.exe ;主文件所在路径
[exe_bak]
fn=C:\WINNT\System32\inf\scrsys070930.scr ;主文件备份所在路径
[dll_hitpop]
fn=C:\WINNT\System32\ winsys32_070930.dll ;动态库所在路径
[dll_start_bak]
fn=C:\WINNT\System32\inf\scrsys16_070930.dll ;动态库所在路径
[dll_start]
fn=C:\WINNT\System32\winsys16_070930.dll ;动态库备份所在路径

3.在System32路径释放病毒本身AlxRes070930.exe和两个动态库文件,在备份文件夹中释放病毒的备份文件。添加以下注册表键值实现自启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
“Userinit” = rundll32.exe C:\WINNT\System32\winsys16_070930.dll start

4.在D盘下释放myplayer.com 文件,添加autorun.inf使得用户双击打开磁盘时同时运行病毒。

5.运行IEXPLORER.EXE把winsys32_070930.dll通过远程线程注入到该进程中,运行rundll32.exe把winsys16_070930.dll通过远程线程注入到该进程中。

6.释放myDelm.bat文件,当病毒运行完后把自己删除。

Winsys16_070930.dll用来反杀毒软件,该动态库被注入到rundll32.exe进程后会进行以下操作:

1.查找并结束以下进程
360safe、symantec AntiVirus、regedit.exe、msconfig.exe、taskgmr.exe…

2.查找以下进窗口并发送WM_QUIT消息关闭窗口
瑞星卡卡上网安全助手 - IE防漏墙、IE执行保护、AVP.TrafficMonConnectionTerm…

winsys32_070930.dll用来点击和更新病毒程序,该动态库被注入到IEXPLORER.EXE进程后会进行以下操作:

1.通过以下键值判定系统中是否存在以下IE保护工具,并把自己添加到可信任的列表中
Software\Baidu\BaiduBar\WhiteList
Software\Yahoo\Assistant\Assist\adwurl
Software\Microsoft\Protected Storage System Provider
Software\Google\NavClient\1.1\whitelist

2.到指定网站下载candown.txt进行自我更新。

3.添加以下键值把自己注册浏览器帮助对象:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}

4.下载list.htm,点击指定的网站增加这些网站的点击量。

安全建议:

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

3 不浏览不良网站,不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

瑞星杀毒软件清除办法:

安装瑞星杀毒软件,升级到19.44.10版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。

Tags: Trojan 电脑相关

0 responses so far ↓

  • There are no comments yet...Kick things off by filling out the form below.

Leave a Comment