Trojan-Spy.Win32.Pophot.afw木马分析

Trojan-Spy.Win32.Pophot.afw木马分析

病毒标签：
病毒名称： Trojan-Spy.Win32.Pophot.afw
病毒类型： 木马类
文件 MD5： 45B47482907438DFBF48E3F570B5AC4C
公开范围： 完全公开
危害等级： 4
文件长度： 94,776 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi
加壳类型： 未知壳

病毒描述：
　　该病毒为间谍木马，病毒运行后复制自身到系统目录，并重命名为
ccwle080305.exe，衍生病毒文件，使用bat批处理删除原文件。添加启动项，
以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收
集的目的。通过恶意网站、其它恶意代码下载传播。　　　

行为分析：
本地行为：

1、 文件运行后会衍生以下文件:
　　　　%System32\ccwld16_080305.dll 　　22,016字节
　　　　%System32\ccwld32_080305.dll 　　181,248字节
　　　　%System32\ccwle080305.exe 　　　 94,776字节
　　　　%Windir%\ccwl16.ini 　　　　　　 256字节

2、在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”
　 目录下添加快捷方式“msword.lnk”，该快捷方式指向：

　　C:\WINDOWS\system32\ccwle080305.exe，
　　
　　以达到启动病毒的目的。

3、ccwl16.ini为病毒体配置文件，该病毒体在释放文件前读取该配置文件信息，
　 具体信息如下：
　　
　　　　[hitpop]
　　　　ver=080305
　　　　kv=0
　　　　[exe]
　　　　fn=C:\WINDOWS\system32\ccwle080305.exe
　　　　[dll_hitpop]
　　　　fn=C:\WINDOWS\system32\ccwld32_080305.dll
　　　　[dll_start]
　　　　fn=C:\WINDOWS\system32\ccwld16_080305.dll
　　　　[ie]
　　　　run=no
　　　　[alexa]
　　　　right_tan88=ok
　　　　[sys]
　　　　bat=c:\ccwlDelmt.bat

4、跳过IE执行保护，瑞星卡卡上网安全助手弹出对话框，及IE其它安全警告对话框；
　 达到更好的隐藏自身。

网络行为:　　
　　
　　1、 后台开启IE，注入ccwld32_080305.dll,连接网络：

　　　　218.2.25.***：下载病毒列表
　　　　218.2.25.***：下载病毒080221.exe
　　
　　　　还会下载其它网页信息。

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32