| 词条 | Trojan-PSW.Win32.Delf.qc |
| 释义 | 该病毒属木马类,病毒运行后衍生病毒文件到系统目录下,连接网络,下载病毒文件到本地运行,修改注册表,添加启动项,以达到随机启动的目的,该木马下载的病毒均为盗取网络游戏及 QQ 的账号与密码的木马。通过 HOOK 系统函数,隐藏病毒进程。 行为分析(1 、病毒运行后衍生病毒文件 2 、修改注册表 3.病毒插入系统正常进程 4 、通过 HOOK 系统函数,隐藏病毒进程。 5 、连接网络、下载病毒文件 6 、该病毒下载大量盗号类木马到本机运行) 简介病毒名称: Trojan-PSW.Win32.Delf.qc 病毒类型: 木马 文件 MD5: CAA66210E00A4C5A78A73A9588671671 公开范围: 完全公开 危害等级: 3 文件长度: 22,964 字节 感染系统: windows98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 命名对照: BitDefender [ Generic.PWStealer.855706A3 ] 行为分析1 、病毒运行后衍生病毒文件%Temp%\\c0nime.exe %Temp%\\Gjzo0.dll %Temp%\\iexpl0re.exe %Temp%\\LgSy0.dll %Temp%\\qq.exe %Temp%\\upxdnd.dll %Temp%\\zt.exe %Program Files%\\Common Files\\Microsoft Shared\\MSInfo\ewInfo.bmp %Program Files%\\Common Files\\Microsoft Shared\\MSInfo\\system.2dt %Program Files%\\Internet Explorer\\PLUGINS\\system2.jmp %Program Files%\\Internet Explorer\\PLUGINS\\System64.sys %WINDIR%\\cmdbcs.exe %WINDIR%\\mppds.exe %WINDIR%\\mscct.exe %system32%\\cmdbcs.dll %system32%\\drivers\pf.sys %system32%\\fpsini.dll %system32%\\gdipri.dll %system32%\\mppds.dll %system32%\\mscct.dll %system32%\\Packet.dll %system32%\\systemm.exe %system32%\\WanPacket.dll %system32%\\wpcap.dll 2 、修改注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "c15vri220"="%Temp%\\c0nime.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "dvzmsw"="%Temp%\\iexpl0re.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "cmdbcs"="%WINDIR%\\cmdbcs.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "mppds"="%WINDIR%\\mppds.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "mscct "="%WINDIR%\\mscct.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "nwizqjsj"="%system32%\wizqjsj.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ 键值 : 字串 : "upxdnd"="C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\zt.exe" HKEY_CURRENT_USER\\Software\\Tencent\\Hook2\\ 键值 : 字串 : "First"="wk" HKEY_CURRENT_USER\\Software\\Tencent\\IeHook 键值 : 字串 : "First"="kk" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { 131AB311-16F1-F13B-1E43-11A24B51AFD1 }\\InprocServer32\\@ 键值 : 字串 :"%system32%\\gdipri.dll" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { 754FB7D8-B8FE-4810-B363-A788CD060F1F }\\InProcServer32\\@ 键值 : 字串 :"%Program Files%\\Internet Explorer\\PLUGINS\\System64.sys" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\ShellExecuteHooks\\{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 } 键值 : 字串 :"gdipri.dll" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\PF\\ImagePath 键值 : 字串 :"system32\\drivers\pf.sys" 3.病毒插入系统正常进程病毒以下文件插入系统正常进程 explorer.exe 中: %Temp%\\Gjzo0.dll %Temp%\\iexpl0re.exe %Temp%\\upxdnd.dll %system32%\\cmdbcs.dll %system32%\\mppds.dll %system32%\\mscct.dll %Program Files%\\Common Files\\Microsoft Shared\\MSInfo\ewInfo.bmp %Program Files%\\Internet Explorer\\PLUGINS\\System64.sys 4 、通过 HOOK 系统函数,隐藏病毒进程。5 、连接网络、下载病毒文件下载地址: M*.p*ga*e*.com/0/mh.exe 域名: M*.p*ga*e*.com IP 地址: 5*.2*8.2*2.1*3 物理地址:江苏省徐州市 6 、该病毒下载大量盗号类木马到本机运行可以盗取用户网络游戏及 QQ 等的账号与密码。 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线断开网络,结束病毒进程: explorer.exe (2) 删除病毒文件: %Temp%\\c0nime.exe %Temp%\\Gjzo0.dll %Temp%\\iexpl0re.exe %Temp%\\LgSy0.dll %Temp%\\qq.exe %Temp%\\upxdnd.dll %Temp%\\zt.exe %Program Files%\\Common Files\\Microsoft Shared\\MSInfo\ewInfo.bmp %Program Files%\\Common Files\\Microsoft Shared\\MSInfo\\system.2dt %Program Files%\\Internet Explorer\\PLUGINS\\system2.jmp %Program Files%\\Internet Explorer\\PLUGINS\\System64.sys %WINDIR%\\cmdbcs.exe %WINDIR%\\mppds.exe %WINDIR%\\mscct.exe %system32%\\cmdbcs.dll %system32%\\drivers\pf.sys %system32%\\fpsini.dll %system32%\\gdipri.dll %system32%\\mppds.dll %system32%\\mscct.dll %system32%\\Packet.dll %system32%\\systemm.exe %system32%\\WanPacket.dll %system32%\\wpcap.dll (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "c15vri220"="%Temp%\\c0nime.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "dvzmsw"="%Temp%\\iexpl0re.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "cmdbcs"="%WINDIR%\\cmdbcs.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "mppds"="%WINDIR%\\mppds.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "mscct "="%WINDIR%\\mscct.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "nwizqjsj"="%system32%\wizqjsj.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\ 键值 : 字串 : "upxdnd"="C:\\DOCUME~1\\COMMAN~1\\ LOCALS~1\\Temp\\zt.exe" HKEY_CURRENT_USER\\Software\\Tencent\\Hook2\\ 键值 : 字串 : "First"="wk" HKEY_CURRENT_USER\\Software\\Tencent\\IeHook 键值 : 字串 : "First"="kk" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { 131AB311-16F1-F13B-1E43-11A24B51AFD1 }\\InprocServer32\\@ 键值 : 字串 :"%system32%\\gdipri.dll" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { 754FB7D8-B8FE-4810-B363-A788CD060F1F }\\InProcServer32\\@ 键值 : 字串 :"%Program Files%\\Internet Explorer\\PLUGINS\\System64.sys" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\ShellExecuteHooks\\ { 131AB311-16F1-F13B-1E43-11A24B51AFD1 } 键值 : 字串 :"gdipri.dll" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ NPF\\ImagePath 键值 : 字串 :"system32\\drivers\pf.sys" |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。