Trojan-Spy.Win32.Delf.uv样本分析

病毒标签：

　　病毒名称： Trojan-Spy.Win32.Delf.uv

　　病毒类型： 木马类

　　文件MD5： AEB1EC3571803651FB644C73C4521BD5

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 12,683 字节

　　感染系统： Win98以上版本

　　开发工具： Upack 0.3.9 beta2s

　　命名对照： AVG 　　　　[PSW.OnlineGames.FQT]

　　Mcafee 　　 [PWS-OnlineGames.f]

　　病毒描述：

　　该病毒属木马类，病毒运行后衍生病毒文件到系统目录system32下，并删除自身;修改注册表，创建CLSID组件建值，以达到将病毒衍生的DLL文件在开机时注入explorer.exe中的目的;新建注册表键值，用以屏蔽windows自动更新按钮;该病毒可以收集用户信息，发送到指定服务器。

　　行为分析：

　　本地行为：

　　1、病毒运行后衍生病毒文件到系统目录下：

      %system32%\mydini.dll
　　%system32%myeins.exe
　　%system32%myepri.dll

　　2、病毒利用DAT文件删除自身。

　　3、新建注册表键：

      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5562452F-FA36-BA4F-
　　892A-FF5FBBAC5315}\InprocServer32]

　　注册表键："@"

　　注册表值："C:\WINDOWS\system32\myepri.dll"

　　描述：新建CLSID组件键值

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

　　注册表键："{5562452F-FA36-BA4F-892A-FF5FBBAC5315}"

　　注册表值： "myepri.dll"

　　描述：将myepri.dll注入到系统进程explorer.exe中，可达到随机启动的目的。

　　       [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

　　注册表键："AUOptions"

　　类型：DWORD

　　注册表值：1 (0x1)

      [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

　　注册表键："NoAutoUpdate"

　　类型：DWORD

　　注册表值：1 (0x1)

　　描述：屏蔽windows自动更新按钮

　　4、病毒衍生的文件myepri.dll插入到系统进程explorer.exe中。

　　网络行为：

　　利用send函数将收集到的用户信息发送到指定服务器：

　　IP地址：219.133.63.***

　　注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。

      %Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　%Documents and Settings% 　　　当前用户文档根目录
　　%Temp% 　　　　　\Documents and Settings\当前用户\Local Settings\Temp
　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　windows95/98/me中默认的安装路径是C:\Windows\System
　　windowsXP中默认的安装路径是C:\Windows\System32

　　清除方案：

　　1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

　　2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　(1)使用安天木马防线“进程管理”关闭病毒进程：

　　myeins.exe

　　(2)删除病毒文件：

      %system32%\mydini.dll
　　%system32%myeins.exe
　　%system32%myepri.dll

　　(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：

     [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5562452F-FA36-BA4F-892A-FF5FBBAC5315}\InprocServer32]

　　注册表键："@"

　　注册表值："C:\WINDOWS\system32\myepri.dll"

　　描述：新建CLSID组件键值

     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

　　注册表键："{5562452F-FA36-BA4F-892A-FF5FBBAC5315}"

　　注册表值： "myepri.dll"

　　描述：将myepri.dll注入到系统进程explorer.exe中，

　　可达到随机启动的目的。

     [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

　　注册表键："AUOptions" 类型：DWORD

　　注册表值：1 (0x1)

     [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

　　注册表键："NoAutoUpdate"

　　类型：DWORD

　　注册表值：1 (0x1)

　　描述：屏蔽windows自动更新按钮

 

标签： 服务器 网络 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。