木马程序 Trojan-Spy.Win32.Pophot.g

木马程序Trojan-Spy.Win32.Pophot.g

该样本是一个使用Delphi语言编写的程序，长度26,724字节，图标为WINDOWS默认图标，病毒扩展名为exe，主要通过传播途径主要为网页挂马，文件捆绑。

病毒分析

该样本被激活后遍历系统进程查找部分杀软进程，如果有便通过修改系统时间和模拟鼠标点击试图突破杀软限制；复制自身到%systemroot%\system32目录下并重命名为WINCHECK071213.EXE，释放WINCHECK071213.DLL和WCHECK.DLL到%systemroot%\system32目录下，并释放批处理命令删除自身；通过修改注册表相关键值，使得病毒程序WINCHECK071213.DLL随系统自动加载；病毒程序激活后，自动连接远程黑客主机，接受黑客指令被黑客控制。

技术细节

病毒添加的注册表项：
HKEY_USERS\当前用户\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
键值mscheck
指向文件：%systemroot%\system32\rundll32.exe

安全提示

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”，请直接选择删除处理；
如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Spy.Win32.Pophot.ga”，请直接选择删除。

"%systemroot%\system32\wincheck071213.dll”