Trojan-PSW.Win32.Delf.le的分析与清除
2008-01-03 12:44
作者:mirk
来源:赛迪网
[摘要] Trojan-PSW.Win32.Delf.le病毒为木马类,病毒运行后衍生病毒文件到原病毒所在路径visita64.dll。 修改注册表,添加启动项,以达到随机启动的目的。
一、病毒标签:
病毒名称: Trojan-PSW.Win32.Delf.le
病毒类型: 木马类
文件 MD5: CC16390CEA4D3D3BB56244C1CDDA3071
公开范围: 完全公开
危害等级: 3
文件长度: 27,193 字节
感染系统: windows 98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: FSG 2.0
二、 病毒描述:
该病毒为木马类,病毒运行后衍生病毒文件到原病毒所在路径visita64.dll。 修改注册表,添加启动项,以达到随机启动的目的。删除Cache中的原始记录,禁止IE Cookie“隐私图标”提示。创建自身进程,查找EXPLORER.EXE和其它相关进程信息;设置远程线程来执行visita64.dll,在执行时将visita64.dll插入到EXPLORER.EXE进程和其它相关进程中。达到记录和收集信息的目的。以插入visita64.dll的IEXPLORER.EXE进程开启多个线程,主动连接网络,下载相关病毒文件信息。
三、 行为分析:
1、病毒运行后,衍生病毒文件:
(原病毒所在路径)\visita64.dll
2、修改注册表:
添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " Connections " = "原病毒所在路径\原病毒名子"
HKEY_CURRENT_USER\Software\absoft\iewodos
键值: 字串: " exepath " = "原病毒所在路径\原病毒名子
禁止IE Cookie“隐私图标”提示:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\PrivDiscUiShown
键值: DWORD: 1 (0x1)
删除Cache中的原始记录:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheLimit
键值: DWORD: 8192 (0x2000)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheOptions
键值: DWORD: 11 (0xb)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CachePath
键值: 类型: REG_EXPAND_SZ 长度: 75 (0x4b) 字节
%USERPROFILE%\Local Settings\History\History.IE5\MSHist012007052820070529\.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CachePrefix
键值: 字符串: ":2007052820070529: "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheRepair
键值: DWORD: 0 (0)
3、创建自身进程,将visita64.dll插入到EXPLORER.EXE进程和其它相关进程中,达到记录和收集信息的目的。
4、主动连接网络,下载相关病毒文件信息:
地址 \ 下载文件:
www5.sowdo.com( 60.191.239.104)\ base.txt 和post.asp
jump.oiwin.cn (60.190.218.29 ) \ downini6.asp
home.goofar.com ( 222.183.80.5 )\ jinrongju
host.goofar.com( 222.183.80.5 )\err.htm
5、该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户账号与密码和其它敏感信息。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
(2) 强行删除病毒文件
(原病毒所在路径)\visita64.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " Connections " = "原病毒所在路径\原病毒名子"
HKEY_CURRENT_USER\Software\absoft\iewodos
键值: 字串: " exepath " = "原病毒所在路径\原病毒名子
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\PrivDiscUiShown
键值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheLimit
键值: DWORD: 8192 (0x2000)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheOptions
键值: DWORD: 11 (0xb)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CachePath
键值: 类型: REG_EXPAND_SZ 长度: 75 (0x4b) 字节
%USERPROFILE%\Local Settings\History\History.IE5\MSHist012007052820070529\.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CachePrefix
键值: 字符串: ":2007052820070529: "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheRepair
键值: DWORD: 0 (0)
病毒名称: Trojan-PSW.Win32.Delf.le
病毒类型: 木马类
文件 MD5: CC16390CEA4D3D3BB56244C1CDDA3071
公开范围: 完全公开
危害等级: 3
文件长度: 27,193 字节
感染系统: windows 98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: FSG 2.0
二、 病毒描述:
该病毒为木马类,病毒运行后衍生病毒文件到原病毒所在路径visita64.dll。 修改注册表,添加启动项,以达到随机启动的目的。删除Cache中的原始记录,禁止IE Cookie“隐私图标”提示。创建自身进程,查找EXPLORER.EXE和其它相关进程信息;设置远程线程来执行visita64.dll,在执行时将visita64.dll插入到EXPLORER.EXE进程和其它相关进程中。达到记录和收集信息的目的。以插入visita64.dll的IEXPLORER.EXE进程开启多个线程,主动连接网络,下载相关病毒文件信息。
三、 行为分析:
1、病毒运行后,衍生病毒文件:
(原病毒所在路径)\visita64.dll
2、修改注册表:
添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " Connections " = "原病毒所在路径\原病毒名子"
HKEY_CURRENT_USER\Software\absoft\iewodos
键值: 字串: " exepath " = "原病毒所在路径\原病毒名子
禁止IE Cookie“隐私图标”提示:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\PrivDiscUiShown
键值: DWORD: 1 (0x1)
删除Cache中的原始记录:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheLimit
键值: DWORD: 8192 (0x2000)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheOptions
键值: DWORD: 11 (0xb)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CachePath
键值: 类型: REG_EXPAND_SZ 长度: 75 (0x4b) 字节
%USERPROFILE%\Local Settings\History\History.IE5\MSHist012007052820070529\.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CachePrefix
键值: 字符串: ":2007052820070529: "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheRepair
键值: DWORD: 0 (0)
3、创建自身进程,将visita64.dll插入到EXPLORER.EXE进程和其它相关进程中,达到记录和收集信息的目的。
4、主动连接网络,下载相关病毒文件信息:
地址 \ 下载文件:
www5.sowdo.com( 60.191.239.104)\ base.txt 和post.asp
jump.oiwin.cn (60.190.218.29 ) \ downini6.asp
home.goofar.com ( 222.183.80.5 )\ jinrongju
host.goofar.com( 222.183.80.5 )\err.htm
5、该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户账号与密码和其它敏感信息。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
(2) 强行删除病毒文件
(原病毒所在路径)\visita64.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " Connections " = "原病毒所在路径\原病毒名子"
HKEY_CURRENT_USER\Software\absoft\iewodos
键值: 字串: " exepath " = "原病毒所在路径\原病毒名子
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\PrivDiscUiShown
键值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheLimit
键值: DWORD: 8192 (0x2000)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheOptions
键值: DWORD: 11 (0xb)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CachePath
键值: 类型: REG_EXPAND_SZ 长度: 75 (0x4b) 字节
%USERPROFILE%\Local Settings\History\History.IE5\MSHist012007052820070529\.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CachePrefix
键值: 字符串: ":2007052820070529: "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007052820070529\CacheRepair
键值: DWORD: 0 (0)
【责任编辑 陈东方】
- 相关文章
- 精选专题
