病毒特性:
Win32/Hitpop是一族多成分的特洛伊病毒,具有adware功能。它还能显示弹出广告并能下载运行任意文件。
感染方式:
运行时,Win32/Hitpop在%System%目录中生成2个病毒副本。很多变体使用类似"AlxRes.exe" 和 "scrsys.exe"的文件名,这里的指被特洛伊使用的hardcoded版本号。
如果被感染机器有D:\ ,特洛伊就会复制到这里,通常是"myplayer.com"。 它还生成2个库文件的病毒副本:
%System%\scrsys16.scr
%System%\winsys16.dll 还有一个主程序副本:
%System%\winsys32.dll 这些文件,Hitpop都设置为系统、隐藏、只读文件属性。它还在%Windows%目录生成一个.ini文件,通常使用"mywinsys.ini" 或 "winsys.ini" 文件名。 例如,Win32/Hitpop.BA 生成以下文件:
D:\myplayer.com
%System%\AlxRes070511.exe
%System%\scrsys070511.exe
%System%\scrsys16_070511.scr
%System%\winsys16_070511.dll
%System%\winsys32_070511.dll
%Windows%\mywinsys.ini 很多变体还会修改以下注册表键值:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
\Userinit = "userinit.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
\Userinit = "rundll32.exe %System%\winsys16_070511.dll start"
HKLM\SOFTWARE\Microsoft\Command Processor\AutoRun
= "D:\myplayer.com" (if D:\ exists)
HKCU\Software\Microsoft\Internet Explorer\Main
\Check_Associations = "no"
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
\EnableAutodial = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
\NoNetAutodial = 0 如果它们被删除或被修改,每个成分都会检查并恢复其它成分和注册表键值。 接下来,Win32/Hitpop运行Internet Explorer,不显示任意窗口,并将代码注入程序,让iexplore.exe 加载"winsys32.dll"。 退出之前,Hitpop 生成一个批处理文件,删除特洛伊的原始运行文件和这个批处理文件。 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
避免被安全软件检测
Win32/Hitpop的主要程序的行为就是避免被防病毒和防火墙产品检测。Win32/Hitpop的每个程序运行时,都会寻找特定标题的窗口。特洛伊还会在截取的窗口执行不同的操作:
关闭弹出报警;
允许程序运行。
终止进程
很多变体会终止以下进程:
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
360tray.exe Adware活动
"winsys32.dll" 被隐藏的"iexplore.exe"程序运行,它还连接到远程主机并下载指令,通常保存到 %Temp%\list.htm 。 指令是被加密的,并很快删除"list.htm"。 注:%Temp%是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\Documents and Settings\\Local Settings\Temp", 或 "C:\WINDOWS\TEMP"。 主机的URL在特洛伊的代码中,例如:
zhuoyueyiliao.cn
hs444.com
dosboy.com 根据收到的指令,Win32/Hitpop变体可能执行以下操作:
改变Internet Explorer默认主页,例如Win32/Hitpop.BA 将被感染用户的主页设置为 http://www.addressing.cn/index.htm 。 连接不同的站点和/或执行Internet 搜索。例如,Win32/Hitpop.BP 连接以下站点:
http://www.google.cn/search?complete=1&hl=zh-CN&q=%E5%88%86%
E7%B1%BB%E4%BF%A1%E6%81%AF&btnG=Google+%
http://www.079lgo.cn/
http://www.baidu.com/s?wd=%BE%A3%D6%DD%D0%C5%CF%A2%B8%DB&cl=3
http://www.0716info.com/
http://www.saoing.cn/tc.htm
http://www.hs444.com/
http://www.snpfiwfn.cn/tc.htm
http://www.cqxxx.cn/dao.htm 显示弹出窗口,一般都是与广告相关的。 下载并运行任意文件。例如,Win32/Hitpop.BA 从xx.bbsalon.cn域下载并运行Win32/Pipown.DF,Win32/Hitpop.BP 从hs444.com 域下载Win32/Hitpop 的另一个变体。 生成其它文件。Win32/Hitpop通过很多 .ini文件改变信息。除了在安装时生成的.ini文件(通常是%Windows%\mywinsys.ini),还会生成以下文件:
%System%\mywebhit.ini
%System%\mywebhit.ini.tmp 一些变体还会生成"autorun.inf" (通常在 D:\ 驱动器中),这个文件会指示运行特洛伊的一个副本。 尝试避开阻止弹出功能。一些变体添加站点到注册表的白名单中,例如,Win32/Hitpop.BP添加以下注册表键值:
HKCU\Software\Baidu\BaiduBar\WhiteList\
*.0716info.com* = 1
*.079lgo.cn* = 1
*.cqxxx.cn* = 1
*.hs444.com* = 1
*.saoing.cn* = 1
*.snpfiwfn.cn* = 1 HKCU\Software\Google\NavClient\1.1\whitelist\allow2 = "|www.0716info.com|www.079lgo.cn
|www.hs444.com|www.cqxxx.cn|www.saoing.cn|www.snpfiwfn.cn|" HKCU\Software\Yahoo\Assistant\Assist\adwurl\
http://www.0716info.com*
http://www.079lgo.cn*
http://www.cqxxx.cn*
http://www.hs444.com*
http://www.saoing.cn*
http://www.snpfiwfn.cn
其它信息
Hitpop 的一些变体修改被感染机器的日期,例如,Win32/Hitpop.A 生成的所有文件的时间都是1987 年。这个变体还会将本地机器的日期改为之前的年份,如果系统设置为2007年, Win32/Hitpop.A 就会将它改为2006年。
|