| 词条 | Backdoor.Win32.Delf.auu |
| 释义 | 该病毒属后门类,病毒图标为DLL文件的图标,用以迷惑用户。病毒运行后衍生病毒文件到系统目录下,并在系统根目录下新建空文件夹Downloads,用以存放以后下载的文件,病毒进程名为winlogon.exe 基本信息病毒名称: Backdoor.Win32.Delf.auu 病毒类型: 后门 文件 MD5: EABD999F3ED54E94657F042877E2D993 公开范围: 完全公开 危害等级: 3 文件长度: 683,520 字节 感染系统: windwos98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 命名对照: 驱逐舰[BackDoor.Symfly] BitDefender [无] 病毒描述,伪装成系统进程,但文件路径是%system32%\\wbem\\winlogon.exe。修改注册表,连接网络。该病毒可以监听指定进程和端口,从而获取用户在网络上收发的数据包,盗取用户敏感信息等。 行为分析1、病毒运行后衍生病毒文件到系统目录下: %system32%\\SysOption.bin %system32%\\wmvdmoes32.dll %system32%\\wbem\\winlogon.exe %system32%\\wbem\\kbd101ab.dll %system32%\\wbem\\SysOption.bin 2、在系统根目录下新建空文件夹Downloads,用以存放以后下载的文件。 3、病毒进程名为winlogon.exe,伪装成系统进程,但文件路径是%system32%\\wbem\\winlogon.exe。 4、修改注册表: HKEY_CURRENT_USER\\Software\\Microsoft\\MediaPlayer\\Player\\Extensions\\.fy\\ 键值: 字串: "Permissions"="1" HKEY_CURRENT_USER\\Software\\Microsoft\\MediaPlayer\\Player\\Extensions\\.fy\\ 键值: 字串: "Runtime"="1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{881F6F06-4620-4070-AD05-BD77D4C56661}\\ 键值: 字串: "@"="SysBackHelper Object" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{881F6F06-4620-4070-AD05-BD77D4C56661}\\LocalServer32\\ 键值: 字串: "@"="病毒所在路径" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Interface\\{468262B9-8400-4A49-B2E5 CE8550EB1347}\\ProxyStubClsid\\ 键值: 字串: "@"="{00020424-0000-0000-C000-000000000046}" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Interface\\{468262B9-8400-4A49-B2E5-CE8550EB1347}\\TypeLib\\ 键值: 字串: "Version"="1.0" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\VCFIWZDY32.VCFIWZDY\\ 键值: 字串: "@"="SysBackHelper Object" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\VCFIWZDY32.VCFIWZDY\\Clsid\\ 键值: 字串: "@"="{881F6F06-4620-4070-AD05-BD77D4C56661}" 5、连接网络,下载病毒文件和广告件,但均已失效: http://update.j7y.net/NewUpdate/wbem\\lsass.exe 6、该病毒可以监听指定进程和端口,从而获取用户在网络上收发的数据包,盗取用户敏感信息等。 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 winlogon.exe (2) 删除病毒文件 %system32%\\SysOption.bin %system32%\\wmvdmoes32.dll %system32%\\wbem\\winlogon.exe %system32%\\wbem\\kbd101ab.dll %system32%\\wbem\\SysOption.bin (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Microsoft\\MediaPlayer \\Player\\Extensions\\.fy\\ 键值: 字串: "Permissions"="1" HKEY_CURRENT_USER\\Software\\Microsoft\\MediaPlayer \\Player\\Extensions\\.fy\\ 键值: 字串: "Runtime"="1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{881F 6F06-4620-4070-AD05-BD77D4C56661}\\ 键值: 字串: "@"="SysBackHelper Object" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{881F6F06 -4620-4070-AD05 BD77D4C56661}\\LocalServer32\\ 键值: 字串: "@"="病毒所在路径" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Interface\\{468262B9 -8400-4A49-B2E5-CE8550EB1347}\\ProxyStubClsid\\ 键值: 字串: "@"="{00020424-0000-0000-C000-000000000046}" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Interface\\{468262B9 -8400-4A49-B2E5-CE8550EB1347}\\TypeLib\\ 键值: 字串: "Version"="1.0" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\VCFIWZDY32.VCFIWZDY\\ 键值: 字串: "@"="SysBackHelper Object" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\VCFIWZDY32.VCFIWZDY\\Clsid\\ 键值: 字串: "@"="{881F6F06-4620-4070-AD05-BD77D4C56661}" |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。