病毒标签：

病毒名称： Trojan-Spy.Win32.Pophot.bxg
病毒类型： 木马
文件 MD5： D41D279F1CDFA877CF89D188924CA4AA
公开范围： 完全公开
危害等级： 4
文件长度： 106,288 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： WinUpack 0.39 final -> By Dwing

病毒描述：

    该病毒为木马。病毒运行后首先获取病毒体存放路径，路径获取成功后衍生病毒进程文件，调用内存中运行动态链接库的系统进程；创建病毒配置文件，运用系统API函数对配置文件进行逐条写入信息，记录病毒运行及更新后情况；再次利用系统特定API函数对病毒体的系统权限进行提升，然后遍历系统进程查找字符串如发现有卡巴斯基、瑞星卡卡上网助手、江民、360的进程就进行关闭；复制本体到系统目录下，并将复制的本体再次复制重新命名以.scr格式存放；衍生动态连接库文件，由病毒的进程进行加载监视以上的反病毒软件行为，模仿Button按钮操作，加载系统Shell相关应用程序接口动态链接库文件，后台开启Iexplorer.exe进程进行连接网络；修改注册表添加病毒启动项；病毒最后在系统根目录下创建批处理文件用以删除病毒本身文件。

行为分析-本地行为：

1、 获取病毒存放路径，如若不存在则创建路径
c:\WINDOWS\
c:\WINDOWS\system\
c:\WINDOWS\system32\inf\
其中c:\WINDOWS\为%Windir%\；c:\WINDOWS\system\%Windir%\system\
c:\WINDOWS\system32\inf\为%System32%\inf\

2、 衍生病毒进程文件以svch0st.exe为名衍生到%System32%\inf\目录下，伪装svchost.exe进程,用以隐藏病毒；调用系统进程rundll32.exe，用于内存中运行动态连接库文件。

3、 创建配置文件%Windir%\zuoyu16.ini，用GetPrivateProfileStringA函数进行写入内容，用以病毒文件的加载，其连接网络失败内容如下：
[temp]
myf=e
[hitpop]
first=1
ver=080812
kv=0
[exe]
fn=C:\WINDOWS\system\zayjhxpRes080812.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\scrsyszy080812.scr
[dll_hitpop]
fn=C:\WINDOWS\system32\mwiszcyys32_080812.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scrszyys16_080812.dll
[dll_start]
fn=C:\WINDOWS\system32\lwizyy16_080812.dll
[sys]
bat=c:\zyDelm.bat
[delete]
fn=
[ie]
run=no
[listion]
run=no
连接网络成功内容如下：
[temp]
myf=e
[hitpop]
first=1
ver=080816
kv=0
[exe]
fn=C:\WINDOWS\system\zayjhxpRes080816.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\scrsyszy080816.scr
[dll_hitpop]
fn=C:\WINDOWS\system32\mwiszcyys32_080816.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scrszyys16_080816.dll
[dll_start]
fn=C:\WINDOWS\system32\lwizyy16_080816.dll
[sys]
bat=c:\zyDelm.bat
sj=1
[delete]
fn=
[ie]
run=ok
hwnd=983902
mgck=1
[listion]
run=no
[alexa]
right_tan88=ok
[ver]
type=2
[old]
dll=C:\WINDOWS\system32\lwizyy16_080812.dll
dll_bak=C:\WINDOWS\system32\inf\scrszyys16_080812.dll
exe=C:\WINDOWS\system\zayjhxpRes080812.exe
dll32=C:\WINDOWS\system32\mwiszcyys32_080812.dll
可以看出由网络下载后的文件为原病毒的升级文件，通过逆向分析，升级文件并没有对原有的病毒进行根本上的改动。

4、 病毒利用LookupPrivilegeValueA和AdjustTokenPrivileges函数获得系统最高权限；遍历系统进程查找含有以下字符串的进程，如发现就强关闭，以及利用病毒进程模拟Button按钮操作进行放行，使得反病毒软件失效，查找字符串有：
avp.exe
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
360tray.exe

5、 复制自身到%Windir%\system\zayjhxpRes080812.exe，并将zayjhxpRes080812.exe重命名为scrsyszy080812.scr以屏幕保护程序格式存放于%system32%\inf\目录下，用以迷惑用户为正常文件。

6、 衍生动态链接库文件%system32%\inf\scrszyys16_080812.dll、%system32%\inf\lwizyy16_080812.dll和%system32%\inf\mwiszcyys32_080812.dll。其中scrszyys16_080816.dll为lwizyy16_080812.dll的备份文件。其中病毒进程svch0st.exe加载lwizyy16_080812.dll动态链接库，用以关闭杀软或者模仿按钮操作，其文件主要字符串如下：
e 执
行
保
护
允许执
行
确
定
允
许
创
建
规则
许
允
允许（&a）
跳
过
跳过
（&s）
否
安
全
警
告
是
……
允
许
此
动
作
确
定
\n\n
江
民
主
动
防
御
之
木
马
一
扫
光
提
示
您
江
民主
动防御
之
系
统监
控提示
……
瑞星卡卡上网
安全助手 – ie防
漏墙
……
avp.button
……
avp
.alertdialog

病毒进程svch0.exe加载Windows壳Shell相关应用程序接口动态链接库文件shell32.dll，用于后台开启IEexpleore.exe进程，并将mwiszcyys32_080812.dll注入到该进程中，连接http://www.baidu.com
http://www.baidu.com/img/baidu_****.gif测试网络是否接入因特网。如果网络畅通就连接以下地址
1）http://cjadmin.***.net/cc/list.htm（219.153.14.**：80）地址，返回加密内容，目的为下载
http://cjadmin.***.net/m/rs.exe（219.153.14.**：80）文件，而rs.exe就是病毒复制的自身文件zayjhxpRes080812.exe
2）向http://las****.com（209.162.178.**：80）网站
Password recovery solutions for Word, Excel, Access, Outlook, SQl, Quickbooks and more. Guaranteed password recovery!（在线破解office系列密码网站）返回信息，信息格式为aus.aspx?lv=1&p=RegSnap&v=1711&n=1217973821&x=&c=82d64a73
3）下载http://cjadmin.***.net/m/jkyx.exe（219.153.14.**：80）该病毒为Tojan-Downloader.Win32.Small.afei。
并向http://cjadmin.***.net（219.153.14.**：80）返回信息。信息格式为：
/cc/active.asp?ver=080816&userid=rs&userbh=&old=0&address=00-0C-29-51-66-64

7、 修改系统%Windir%\win.ini文件，修改后内容如下：
for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
[alexa]
right_tan88=ok
其中[alexa]项为由病毒添加，目的在系统启动时辅助病毒自启动。

8、 系统目录下创建配置文件%system32%\zuoyue32.ini，其内容为对IExplorer.exe的初始化：
[ie]
pm_time=50
pm_count=1
gg_count=1
gg_jg=60
sound=0
ys=90
dx_jg=60

9、 修改注册表添加在启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
键值: zuoyue
字符串: "C:\WINDOWS\system32\inf\svch0st.exe C:\WINDOWS\system32\lwizyy16_080812.dll zyd16"
描述：创建病毒启动项

10、 在系统跟目录下创建批处理文件，进程删除病毒本体，内容如下：
"C:\WINDOWS\system\zayjhxpRes080812.exe" i
del %0
其中C:\WINDOWS\system目录为病毒运行的当前目录。

注释：
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是C:\Windows\System；
WindowsXP中默认的安装路径是C:\Windows\System32。

清除方案：

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用安天防线或ATool中的“进程管理”关闭病毒进程
关闭svch0st.exe和IExplorer.exe进程
(2) 强行删除病毒文件
%Windir% \system\zayjhxpRes080812.exe
%System32%\inf\scrsyszy080812.scr
%System32%\inf\scrszyys16_080812.dll
%System32%\inf\svch0st.exe
%System32%\lwizyy16_080812.dll
%System32%\mwiszcyys32_080812.dll
%Windir% \zuoyu16.ini
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
键值: zuoyue
字符串: "C:\WINDOWS\system32\inf\svch0st.exe C:\WINDOWS\system32\lwizyy16_080812.dll zyd16"
描述：创建病毒启动项