Win32.Adware.Pophot.v.475136
病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
475136
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
这是一个恶意广告软件,隐蔽安装,难以卸载。病毒运行后会将自身复制到系统文件夹,并释放病毒文件,通过修改注册表达到自启动。
病毒修改了cmd命令关联的注册表项,当用户执行cmd命令前执行病毒。注入IE浏览器进程,在后台强制弹广告,干扰用户正常操作。
另外,该病毒还会结束江民和360安全卫士监控程序,而且监控卡巴斯基实时警告窗口和瑞星监控窗口,自动点击跳过按钮以逃过查杀。
修改注册表,把自身加入禁止弹广告程序的白名单,逃过封杀。还会下载隐蔽软件至用户计算机。
1.运行后复制自身至
%sys32dir%\AlxRes070712.exe
%sys32dir%\inf\scrsys070712.scr
D:\myplayer.com
并释放文件
%windir%\mywinsys.ini
%sys32dir%\inf\scrsys16_070712.dll
%sys32dir%\winsys16_070712.dll
%sys32dir%\winsys32_070712.dll
然后删除自身
2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\runUserinit"rundll32.exe%sys32dir%\winsys16_070712.dllstart"
3.修改注册表键值
(禁用默认IE关联检查)
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainCheck_Associations"yes"=>"no"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessorAutoRun""=>"d:\myplayer.com"
4.修改注册表,令用户在运行cmd命令前执行病毒
5.使用ntsd命令结束以下进程
KRegEx.exe
KVXP.kxp
360tray.exe
6.监控卡巴斯基实时警告窗口和瑞星监控窗口,自动点击跳过按钮以逃过查杀
7.自动打开IE浏览器,在后台连接远程网站,下载隐蔽软件
hxxp://www.10000xx.com/
hxxp://www.cniin.com
8.修改注册表,将自身加入禁止弹广告程序的白名单,逃过封杀
Software\Baidu\BaiduBar\WhiteList
Software\Yahoo\Assistant\Assist\adwurl
Software\Microsoft\InternetExplorer\NewWindows\Allow
Software\Microsoft\ProtectedStorageSystemProvider
\Software\Microsoft\InternetExplorer\NewWindows\Allow
Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\DomainsSoftware\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomainsSoftware\Google\NavClient\1.1\whitelist
9.注入IE浏览器进程,强制弹出广告,并迅速消失,干扰用户正常操作,并尝试修改hosts文件
