病毒标签:
病毒名称: Trojan-PSW.Win32.Delf.qc
病毒类型: 木马
文件 MD5: CAA66210E00A4C5A78A73A9588671671
公开范围: 完全公开
危害等级: 3
文件长度: 22,964 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
命名对照: BitDefender [ Generic.PWStealer.855706A3 ]
病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件到系统目录下,连接网络,下载病毒文件到本地运行,修改注册表,添加启动项,以达到随机启动的目的,该木马下载的病毒均为盗取网络游戏及 QQ 的账号与密码的木马。通过 HOOK 系统函数,隐藏病毒进程。
行为分析:
1 、病毒运行后衍生病毒文件:
%Temp%\c0nime.exe
%Temp%\Gjzo0.dll
%Temp%\iexpl0re.exe
%Temp%\LgSy0.dll
%Temp%\qq.exe
%Temp%\upxdnd.dll
%Temp%\zt.exe
%Program Files%\Common Files\Microsoft Shared\MSInfo\NewInfo.bmp
%Program Files%\颂核Common Files\Microsoft Shared\MSInfo\system.2dt
%Program Files%\Internet Explorer\PLUGINS\system2.jmp
%Program Files%\Internet Explorer\PLUGINS\System64.sys
%WINDIR%\cmdbcs.exe
%WINDIR%\mppds.exe
%WINDIR%\mscct.exe
%system32%\cmdbcs.dll
%system32%\drivers\npf.sys
%system32%\fpsini.dll
%system32%\gdipri.dll
%system32%\mppds.dll
%system32%\mscct.dll
%system32%\碰樱闹Packet.dll
%system32%\systemm.exe
%system32%\WanPacket.dll
%system32%\wpcap.dll
2 、修改注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
键值 : 字串 : "c15vri220"="%Temp%\c0nime.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
键值 : 字串 : "dvzmsw"="%Temp%\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值 : 字串 : "cmdbcs"="%WINDIR%\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值 : 字串 : "mppds"="%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值 : 字串 : "mscct "="%WINDIR%\mscct.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\笑罩Microsoft\Windows\CurrentVersion\Run
键值 : 字串 : "nwizqjsj"="%system32%\nwizqjsj.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
键值 : 字串 : "upxdnd"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\zt.exe"
HKEY_CURRENT_USER\Software\Tencent\Hook2\
键值 : 字串 : "First"="wk"
HKEY_CURRENT_USER\Software\Tencent\IeHook
键值 : 字串 : "First"="kk"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }\InprocServer32\@
键值 : 字串 :"%system32%\gdipri.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 754FB7D8-B8FE-4810-B363-A788CD060F1F }\InProcServer32\@
键值 : 字串 :"%Program Files%\Internet Explorer\PLUGINS\System64.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks\{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }
键值 : 字串 :"gdipri.dll"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPF\ImagePath
键值 : 字串 :"system32\drivers\npf.sys"
3 、病毒以下文件插入系统正常进程 explorer.exe 中:
%Temp%\Gjzo0.dll
%Temp%\iexpl0re.exe
%Temp%\upxdnd.dll
%system32%\cmdbcs.dll
%system32%\mppds.dll
%system32%\mscct.dll
%Program Files%\Common Files\Microsoft Shared\MSInfo\NewInfo.bmp
%Program Files%\Internet Explorer\PLUGINS\System64.sys
4 、通过 HOOK 系统函数,隐藏病毒进程。
5 、连接网络、下载病毒文件:
下载地址: M*.p*ga*e*.com/0/mh.exe
域名: M*.p*ga*e*.com
IP 地址: 5*.2*8.2*2.1*3
物理地址:江苏省徐州市
6 、该病毒下载大量盗号类木马到本机运行,可以盗取用户网络游戏及 QQ 等的账号与密码。
注: % System% 是一个可变路径。病毒通过查询 *** 作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线断开网络,结束病毒进程:
explorer.exe
(2) 删除病毒文件:
%Temp%\c0nime.exe
%Temp%\Gjzo0.dll
%Temp%\iexpl0re.exe
%Temp%\LgSy0.dll
%Temp%\qq.exe
%Temp%\upxdnd.dll
%Temp%\zt.exe
%Program Files%\Common Files\Microsoft
Shared\MSInfo\NewInfo.bmp
%Program Files%\Common Files\Microsoft
Shared\MSInfo\system.2dt
%Program Files%\Internet Explorer\PLUGINS\system2.jmp
%Program Files%\Internet Explorer\PLUGINS\System64.sys
%WINDIR%\cmdbcs.exe
%WINDIR%\mppds.exe
%WINDIR%\mscct.exe
%system32%\cmdbcs.dll
%system32%\drivers\npf.sys
%system32%\fpsini.dll
%system32%\gdipri.dll
%system32%\mppds.dll
%system32%\mscct.dll
%system32%\Packet.dll
%system32%\systemm.exe
%system32%\WanPacket.dll
%system32%\wpcap.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
键值 : 字串 : "c15vri220"="%Temp%\c0nime.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
键值 : 字串 : "dvzmsw"="%Temp%\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
键值 : 字串 : "cmdbcs"="%WINDIR%\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
键值 : 字串 : "mppds"="%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
键值 : 字串 : "mscct "="%WINDIR%\mscct.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
键值 : 字串 : "nwizqjsj"="%system32%\nwizqjsj.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\
键值 : 字串 : "upxdnd"="C:\DOCUME~1\COMMAN~1\
LOCALS~1\Temp\zt.exe"
HKEY_CURRENT_USER\Software\Tencent\Hook2\
键值 : 字串 : "First"="wk"
HKEY_CURRENT_USER\Software\Tencent\IeHook
键值 : 字串 : "First"="kk"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }\InprocServer32\@
键值 : 字串 :"%system32%\gdipri.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 754FB7D8-B8FE-4810-B363-A788CD060F1F }\InProcServer32\@
键值 : 字串 :"%Program Files%\Internet
Explorer\PLUGINS\System64.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks\
{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }
键值 : 字串 :"gdipri.dll"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
NPF\ImagePath
键值 : 字串 :"system32\drivers\npf.sys"
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)