Trojan-Spy.Win32.Delf.uv样本分析

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

病毒标签:

  病毒名称: Trojan-Spy.Win32.Delf.uv

  病毒类型: 木马类

  文件MD5: AEB1EC3571803651FB644C73C4521BD5

  公开范围: 完全公开

  危害等级: 4

  文件长度: 12,683 字节

  感染系统: Win98以上版本

  开发工具: Upack 0.3.9 beta2s

  命名对照: AVG     [PSW.OnlineGames.FQT]

  Mcafee    [PWS-OnlineGames.f]

  病毒描述:

  该病毒属木马类,病毒运行后衍生病毒文件到系统目录system32下,并删除自身;修改注册表,创建CLSID组件建值,以达到将病毒衍生的DLL文件在开机时注入explorer.exe中的目的;新建注册表键值,用以屏蔽windows自动更新按钮;该病毒可以收集用户信息,发送到指定服务器。

  行为分析:

  本地行为:

  1、病毒运行后衍生病毒文件到系统目录下:

      %system32%\mydini.dll
  %system32%myeins.exe
  %system32%myepri.dll


  2、病毒利用DAT文件删除自身。

  3、新建注册表键:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5562452F-FA36-BA4F-
  892A-FF5FBBAC5315}\InprocServer32]


  注册表键:"@"

  注册表值:"C:\WINDOWS\system32\myepri.dll"

  描述:新建CLSID组件键值

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]


  注册表键:"{5562452F-FA36-BA4F-892A-FF5FBBAC5315}"

  注册表值: "myepri.dll"

  描述:将myepri.dll注入到系统进程explorer.exe中,可达到随机启动的目的。

         [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]


  注册表键:"AUOptions"

  类型:DWORD

  注册表值:1 (0x1)

      [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]


  注册表键:"NoAutoUpdate"

  类型:DWORD

  注册表值:1 (0x1)

  描述:屏蔽windows自动更新按钮

  4、病毒衍生的文件myepri.dll插入到系统进程explorer.exe中。

  网络行为:

  利用send函数将收集到的用户信息发送到指定服务器:

  IP地址:219.133.63.***

  注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。

      %Windir%             WINDODWS所在目录
  %DriveLetter%          逻辑驱动器根目录
  %ProgramFiles%          系统程序默认安装目录
  %HomeDrive%           当前启动的系统的所在分区
  %Documents and Settings%    当前用户文档根目录
  %Temp%      \Documents and Settings\当前用户\Local Settings\Temp
  %System32%           系统的 System32文件夹
  Windows2000/NT中默认的安装路径是C:\Winnt\System32
  windows95/98/me中默认的安装路径是C:\Windows\System
  windowsXP中默认的安装路径是C:\Windows\System32


  清除方案:

  1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

  2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

  (1)使用安天木马防线“进程管理”关闭病毒进程:

  myeins.exe

  (2)删除病毒文件:

      %system32%\mydini.dll
  %system32%myeins.exe
  %system32%myepri.dll


  (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:

     [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5562452F-FA36-BA4F-892A-FF5FBBAC5315}\InprocServer32]


  注册表键:"@"

  注册表值:"C:\WINDOWS\system32\myepri.dll"

  描述:新建CLSID组件键值

     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]


  注册表键:"{5562452F-FA36-BA4F-892A-FF5FBBAC5315}"

  注册表值: "myepri.dll"

  描述:将myepri.dll注入到系统进程explorer.exe中,

  可达到随机启动的目的。

     [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]


  注册表键:"AUOptions" 类型:DWORD

  注册表值:1 (0x1)

     [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]


  注册表键:"NoAutoUpdate"

  类型:DWORD

  注册表值:1 (0x1)

  描述:屏蔽windows自动更新按钮

 

标签: 服务器 网络 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:木马病毒肆虐全球 国内用户占其八成

下一篇:安全新趋势:利用网站传播木马已成热门