病毒简介

感染方式

病毒危害

清除方式

病毒简介

病毒名称：特洛伊病毒Win32.Talpalk Family

其它名称：PWS-Banker.gen.i (McAfee) , Infostealer (Symantec), Win32/Talpalk!generic, Trojan-Spy.Win32.Delf.iu (Kaspersky), Backdoor:Win32/Hupigon!1452 (MS OneCare)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

病毒特性：Win32/Talpalk是一族盗窃敏感信息的特洛伊病毒。

感染方式

运行时，Talpalk复制到%Windows%目录，不同的变体使用的文件名不同，有些变体使用以下文件名：

FILENAME.EXE

MAYA.EXE

testy.exe

rundll23.exe

Talpalk会修改注册表，以确保在每次系统启动时运行病毒，例如：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

\\Maya = "%Windows%\\maya.exe"

Talpalk还可能修改以下注册表：

HKLM\\SOFTWARE\\Microsoft\\Windows\\winkthink =

"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

HKLM\\SOFTWARE\\Microsoft\\Windows\\yobitch = "Maya"

HKLM\\SOFTWARE\\Microsoft\\Active Setup\\Installed Components

\\Maya\\StubPath = "%Windows%\\maya.exe"

Talpalk变体还会在%Windows%目录生成一个DLL文件。

注：'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。

病毒危害

修改系统设置

Talpalk通过修改注册表改变很多系统设置：

使Windows XP SP2 以后版本的Windows Firewall失效：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters

\\FirewallPolicy\\StandardProfile\\EnableFirewall=0x0

使Windows XP SP2 以后版本的Firewall Notifications失效：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters

\\FirewallPolicy\\StandardProfile\\DisableNotifications =0x1

使AutoComplete失效：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer

\\AutoComplete\\AutoSuggest=”NO”

HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use FormSuggest="no”

HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\FormSuggest PW Ask="no

使Yahoo Pager 密码保存和Yahoo Pager 自动登陆失效：

HKCU\\Software\\Yahoo\\Pager\\Save Password=0x0

HKCU\\Software\\Yahoo\\Pager\\Auto Login=0x0

Disables storage of credentials or .NET Passports for network authentication

HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\disabledomaincreds=0x1

Disables saved passwords associated with Network Connection phone book entries

HKLM\\SYSTEM\\CurrentControlSet\\Services\\RasMan\\Parameters

\\DisableSavePassword=1

Talpalk 还会删除以下键值：

HKCU\\Software\\Mirabilis\\ICQ\ewOwners

HKLM\\Software\\Mirabilis\\ICQ\ewOwners

HKCU\\Software\\PalTalk

HKCU\\Software\\Microsoft\\IdentityCRL

删除文件

Talpalk删除以下文件和/或目录：

\\config\\SteamAppData.vdf

指以下键值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Valve\\Steam\\InstallPath.

删除存储与“Steam”游戏相关的帐户的文件。

在以下目录中的所有文件和目录 C:\\My RoboForm Data (利用RoboForm 保存密码)

在目录下的所有文件和目录。

这里的 指以下键值：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer

\\Shell Folders\\Cookies

\\Mozilla 和 \\Opera

这里的 指以下键值：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer

\\Shell Folders\\AppData

盗窃敏感信息

Talpalk安装一个系统hoook来监控键盘和鼠标的输入，为了盗窃敏感信息。它监控MSN Messenger和窗口标题包含以下字符串的软件：

.NET Messenger

Anmelden

Anonygold.com

ANZ Internet Banking

AOL.com

Bank of America

Bank one

BankCard

BankWest Online banking

Barclays IBank

bendigobank.com.au - bendigo e-banking

Capital One Online

Chase.com

Chevy Chase Bank

Citibank

e-gold Account

Electronic Money Orders

Gawab.com , Users

HSBC Bank

HYIP Lister

ib.national.com.au - Welcome

iKobo Money Transfer

ING Direct

INT Gold

internetbanking.suncorpmetway.com.au -

Jack henry & Associates

Key Bank

Login

Login - Steam

Login to Paltalk

moneybookers.com

moneybookers.com - and money moves

MoneyMakerGroup

NatWest

NetBank

On-line Dealing Site

Online Account Access Login

Online Service

PayPal

Pecunix

Please Sign In

PNC Bank

RBC

Reality Cycler

Register for Online Access

Rietumu banka

Safe-mail.net

Screen Name Sign In

SFIpay

Sign In

Sign On

St.George Internet Banking Logon

The Universal Payment System

U.S. Bank

V-Money

Wachovia

Walla! - free 1G

Welcome to Gmail

Welcome to paltalk

Wells Fargo

Westpac online - Sign In

WorldPay

www2.netbank.commbank.com.au - Logon

XEtrade - Log in Page

Yahoo! Mail - The Best

Talpalk将记录的信息保存到 %Windows%\\mpdb.dat ，并将它发送到一个特定的URL，发送成功后删除 %Windows%\\mpdb.dat 文件。Talpalk 运行时生成一个临时文件c:\\ali.html。

清除方式

KILL安全胄甲最新版本可检测/清除此病毒。