病毒名稱(中文):
POPHOT點擊器變種103284
病毒別名:
威脅級別:
★★☆☆☆
病毒類型:
木馬下載器
病毒長度:
103284
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個具有盜號木馬功能的廣告病毒。它會彈出廣告、修改IE主頁,還會竊取本地保存的InternetExplorer,OutlookExpress和MSNExplorer密碼。病毒會在非系統盤中生成AUTO病毒文件,並嘗試關閉一些安全軟件,以便能下載病毒到本地運行。
1.病毒運行後,會創建以下文件:
%swindir%\mwinsys.ini
%system32%\inf\scrsys071031.scr
%system32%\inf\scrsys16_071031.dll
%system32%\winsys16_071031.dll
%system32%\winsys32_071031.dll
%system32%\AlxRes071031.exe
其中mwinsys.ini爲病毒的配置文件,病毒的版本,找到的殺毒軟件個數,主程序所在路徑,動態庫及備份文件所在路徑
,要執行的批處理文件等信息.%system32%\inf目錄下的兩個文件爲病毒的備份文件,
AlxRes071031.exe(注,文件名字071031是隨著病毒升級改變的)爲主程序,winsys16_071031.dll
和winsys32_071031.dll用于繞過或關閉殺毒軟件.
2.病毒會檢測自己的路徑是否爲%system32%\AlxRes071031.exe,若不是,就將自己拷貝到
%system32%\AlxRes071031.exe,然後在C盤目錄下釋放一個myDelm.bat的批處理來刪除自己.
3.該病毒會在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run下
添加一個Userinit的值來自啓動,啓動參數爲:"rundll32.exeC:\WINDOWS\system32\winsys16_071031.dllstart"
病毒通過RUNDLL32加載winsys16_071031.dll後,會模擬用戶點擊鼠標來屏蔽一些主動防禦或實時監控的提示.
病毒不斷檢測以下窗口名或窗口類名:
"IE執行保護"
"瑞星卡卡上網安全助手-IE防漏牆"
"安全警告"
AVP.AlertDialog
AVP.Product_Notification
AVP.TrafficMonConnectionTerm
檢測到後模擬用戶點擊"答應執行","是","創建規則"等按鈕來屏蔽提示和警告.
4.病毒不斷查找以下進程名並嘗試結束:
AVP.exe(卡巴斯基)
360tray.exe(360安全助手)
RUNIEP.EXE(瑞星卡卡)
KRegEx.exe(江民木馬一掃光)
KVXP.kxp(江民殺毒軟件主程序)
5.病毒會修改IE和BAIDU工具條,GOOGLE工具條,雅虎助手等工具的白名單.
使以下網址彈出的廣告不被攔截:
ad.3**66.com
jm.9***9.com
u.vl**365.com
www.3***6.com
www.4***658.com
www.y**y.com
並將這些站點加到受信任站點和受信任域的列表中.
6.病毒啓動一個IE進程,通過遠程注入來加載winsys32_071031.dll.
病毒會修改主頁和自我更新,從http://ip.oh-bb.cn/down/1203.exe下載病毒的最新版本到本地運行.
文件名和URL中的1203.exe不是固定的,如病毒的最新版爲10月31日更新的,則URL爲:
http://**.oh**b.cn/down/1203.exe.
7.病毒會在桌面和收藏夾下生成一些指向廣告網站的網頁快捷方式:
防止惡意彈窗的利器.url(指向http://www.3**66.com/fox.htm)
免費電影.url(指向http://www.1**l*ok.com)
上網最安全-火狐浏覽器.url(http://www.3**66.com/fox.htm)
8.病毒會將自己拷貝到除系統分區外的其它分區下,並創建AUTORUN.INF指向自己.
使得用戶雙擊打開磁盤時同時運行病毒.
並會在
9.爲自己注冊如下BHO:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}
10.病毒通過枚舉HKEY_CURRENT_USER\Software\Microsoft\ProtectedStorageSystemProvider下的
鍵值來獲取用戶保存在本機的InternetExplorer,OutlookExpress和MSNExplorer密碼.