Board logo

标题: 木马程序Trojan-Spy.Win32.Pophot.ga [打印本页]
作者: pioneer     时间: 2008-1-8 18:26    标题: 木马程序Trojan-Spy.Win32.Pophot.ga

病毒名称

Trojan-Spy.Win32.Pophot.ga

捕获时间

2007-1-8

病毒症状

    该样本是一个使用Delphi语言编写的程序,长度26,724字节,图标为WINDOWS默认图标,病毒扩展名为exe,主要通过传播途径主要为网页挂马,文件捆绑。
   
病毒分析

    该样本被激活后遍历系统进程查找部分杀软进程,如果有便通过修改系统时间和模拟鼠标点击试图突破杀软限制;复制自身到%systemroot%\system32目录下并重命名为WINCHECK071213.EXE,释放WINCHECK071213.DLL和WCHECK.DLL到%systemroot%\system32目录下,并释放批处理命令删除自身;通过修改注册表相关键值,使得病毒程序WINCHECK071213.DLL随系统自动加载;病毒程序激活后,自动连接远程黑客主机,接受黑客指令被黑客控制。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页挂马,文件捆绑  

安全提示

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”,请直接选择删除处理(如图1);



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Trojan-Spy.Win32.Pophot.ga”,请直接选择删除(如图2)。



对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
作者: pioneer     时间: 2008-1-8 18:28
技术细节

病毒添加的注册表项
HKEY_USERS\当前用户\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
键值mscheck
指向文件:%systemroot%\system32\rundll32.exe "%systemroot%\system32\wincheck071213.dll”



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn