Win32.Troj.Pophot.103284

病毒名稱(中文):

POPHOT點擊器變種103284

病毒別名:

威脅級別:

★★☆☆☆

病毒類型:

木馬下載器

病毒長度:

103284

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個具有盜號木馬功能的廣告病毒。它會彈出廣告、修改IE主頁,還會竊取本地保存的InternetExplorer,OutlookExpress和MSNExplorer密碼。病毒會在非系統盤中生成AUTO病毒文件,並嘗試關閉一些安全軟件,以便能下載病毒到本地運行。

1.病毒運行後,會創建以下文件:

%swindir%\mwinsys.ini

%system32%\inf\scrsys071031.scr

%system32%\inf\scrsys16_071031.dll

%system32%\winsys16_071031.dll

%system32%\winsys32_071031.dll

%system32%\AlxRes071031.exe

其中mwinsys.ini爲病毒的配置文件,病毒的版本,找到的殺毒軟件個數,主程序所在路徑,動態庫及備份文件所在路徑

,要執行的批處理文件等信息.%system32%\inf目錄下的兩個文件爲病毒的備份文件,

AlxRes071031.exe(注,文件名字071031是隨著病毒升級改變的)爲主程序,winsys16_071031.dll

和winsys32_071031.dll用于繞過或關閉殺毒軟件.

2.病毒會檢測自己的路徑是否爲%system32%\AlxRes071031.exe,若不是,就將自己拷貝到

%system32%\AlxRes071031.exe,然後在C盤目錄下釋放一個myDelm.bat的批處理來刪除自己.

3.該病毒會在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run下

添加一個Userinit的值來自啓動,啓動參數爲:"rundll32.exeC:\WINDOWS\system32\winsys16_071031.dllstart"

病毒通過RUNDLL32加載winsys16_071031.dll後,會模擬用戶點擊鼠標來屏蔽一些主動防禦或實時監控的提示.

病毒不斷檢測以下窗口名或窗口類名:

"IE執行保護"

"瑞星卡卡上網安全助手-IE防漏牆"

"安全警告"

AVP.AlertDialog

AVP.Product_Notification

AVP.TrafficMonConnectionTerm

檢測到後模擬用戶點擊"答應執行","是","創建規則"等按鈕來屏蔽提示和警告.

4.病毒不斷查找以下進程名並嘗試結束:

AVP.exe(卡巴斯基)

360tray.exe(360安全助手)

RUNIEP.EXE(瑞星卡卡)

KRegEx.exe(江民木馬一掃光)

KVXP.kxp(江民殺毒軟件主程序)

5.病毒會修改IE和BAIDU工具條,GOOGLE工具條,雅虎助手等工具的白名單.

使以下網址彈出的廣告不被攔截:

ad.3**66.com

jm.9***9.com

u.vl**365.com

www.3***6.com

www.4***658.com

www.y**y.com

並將這些站點加到受信任站點和受信任域的列表中.

6.病毒啓動一個IE進程,通過遠程注入來加載winsys32_071031.dll.

病毒會修改主頁和自我更新,從http://ip.oh-bb.cn/down/1203.exe下載病毒的最新版本到本地運行.

文件名和URL中的1203.exe不是固定的,如病毒的最新版爲10月31日更新的,則URL爲:

http://**.oh**b.cn/down/1203.exe.

7.病毒會在桌面和收藏夾下生成一些指向廣告網站的網頁快捷方式:

防止惡意彈窗的利器.url(指向http://www.3**66.com/fox.htm)

免費電影.url(指向http://www.1**l*ok.com)

上網最安全-火狐浏覽器.url(http://www.3**66.com/fox.htm)

8.病毒會將自己拷貝到除系統分區外的其它分區下,並創建AUTORUN.INF指向自己.

使得用戶雙擊打開磁盤時同時運行病毒.

並會在

9.爲自己注冊如下BHO:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}

10.病毒通過枚舉HKEY_CURRENT_USER\Software\Microsoft\ProtectedStorageSystemProvider下的

鍵值來獲取用戶保存在本機的InternetExplorer,OutlookExpress和MSNExplorer密碼.

Win32.Troj.PopHot.xd.182272
病毒名稱(中文): 火熱野馬182272 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 182272影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個木馬程序的變種。會在磁...查看完整版>>Win32.Troj.PopHot.xd.182272
 
Win32.Troj.Pophot.az
病毒名稱(中文): 下載者Pophot 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 259416影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個下載者,下載的病毒有盜...查看完整版>>Win32.Troj.Pophot.az
 
Win32.Adware.Pophot.v.475136
病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 475136影響系統:Win9xWinNTWin2000WinXPWin2003病毒行爲: 這是一個惡意廣告軟件,隱蔽安裝,難以卸載。病毒運...查看完整版>>Win32.Adware.Pophot.v.475136
 
Win32.Troj.Piaoxue.d.267296
病毒名稱(中文): 飄雪變種267296 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 267296影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個盜號木馬程序的變種...查看完整版>>Win32.Troj.Piaoxue.d.267296
 
Win32.Troj.Agent.pw.665088
病毒名稱(中文): 遠程控制木馬665088 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 665088影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是個遠程控制木馬。它能夠...查看完整版>>Win32.Troj.Agent.pw.665088
 
Win32.Troj.EncodeIe.ao.159744
病毒名稱(中文): 傳奇盜號下載器159744 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 159744影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 此病毒是一個網遊盜號...查看完整版>>Win32.Troj.EncodeIe.ao.159744
 
Win32.Troj.Lmir.be.22183
病毒名稱(中文): 傳奇世界盜號木馬22183 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 22183影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個網遊盜號木馬...查看完整版>>Win32.Troj.Lmir.be.22183
 
Win32.Troj.Tibs.kj.28672
病毒名稱(中文): 精確制導下載器28672 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 28672影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是個木馬下載器程序。爲...查看完整版>>Win32.Troj.Tibs.kj.28672
 
Win32.Troj.LdPinch.pe.3072
病毒名稱(中文): 自毀型木馬下載器3072 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 3072影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個木馬下載器程序。...查看完整版>>Win32.Troj.LdPinch.pe.3072
 
 
回到王朝網路移動版首頁