基本信息
病毒名稱: Backdoor.Win32.Delf.auu病毒類型: 後門
檔案 MD5: EABD999F3ED54E94657F042877E2D993
公開範圍: 完全公開
危害等級: 3
檔案長度: 683,520 位元組
感染系統: windwos98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
命名對照: 驅逐艦[BackDoor.Symfly]
BitDefender [無]
病毒描述
,偽裝成系統進程,但檔案路徑是%system32%\WBEM\winlogon.exe。修改註冊表,連線網路。該病毒可以監聽指定進程和連線埠,從而獲取用戶在網路上收發的數據包,盜取用戶敏感信息等。行為分析
1、病毒運行後衍生病毒檔案到系統目錄下:%system32%\SysOption.bin
%system32%\wmvdmoes32.dll
%system32%\wbem\winlogon.exe
%system32%\wbem\kbd101ab.dll
%system32%\wbem\SysOption.bin
2、在系統根目錄下新建空資料夾Downloads,用以存放以後下載的檔案。
3、病毒進程名為winlogon.exe,偽裝成系統進程,但檔案路徑是%system32%\wbem\winlogon.exe。
4、修改註冊表:
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\.fy\
鍵值: 字串: "Permissions"="1"
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\.fy\
鍵值: 字串: "Runtime"="1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\
鍵值: 字串: "@"="SysBackHelper Object"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\LocalServer32\
鍵值: 字串: "@"="病毒所在路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9-8400-4A49-B2E5
CE8550EB1347}\ProxyStubClsid\
鍵值: 字串: "@"="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9-8400-4A49-B2E5-CE8550EB1347}\TypeLib\
鍵值: 字串: "Version"="1.0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\
鍵值: 字串: "@"="SysBackHelper Object"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\Clsid\
鍵值: 字串: "@"="{881F6F06-4620-4070-AD05-BD77D4C56661}"
5、連線網路,下載病毒檔案和廣告件,但均已失效:
http://update.j7y.net/NewUpdate/wbem\lsass.exe
6、該病毒可以監聽指定進程和連線埠,從而獲取用戶在網路上收發的數據包,盜取用戶敏感信息等。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
winlogon.exe
(2) 刪除病毒檔案
%system32%\SysOption.bin
%system32%\wmvdmoes32.dll
%system32%\wbem\winlogon.exe
%system32%\wbem\kbd101ab.dll
%system32%\wbem\SysOption.bin
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer
\Player\Extensions\.fy\
鍵值: 字串: "Permissions"="1"
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer
\Player\Extensions\.fy\
鍵值: 字串: "Runtime"="1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F
6F06-4620-4070-AD05-BD77D4C56661}\
鍵值: 字串: "@"="SysBackHelper Object"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06
-4620-4070-AD05
BD77D4C56661}\LocalServer32\
鍵值: 字串: "@"="病毒所在路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9
-8400-4A49-B2E5-CE8550EB1347}\ProxyStubClsid\
鍵值: 字串: "@"="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9
-8400-4A49-B2E5-CE8550EB1347}\TypeLib\
鍵值: 字串: "Version"="1.0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\
鍵值: 字串: "@"="SysBackHelper Object"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\Clsid\
鍵值: 字串: "@"="{881F6F06-4620-4070-AD05-BD77D4C56661}"
