Trojan-Downloader.Win32.Delf.avn

Trojan-Downloader.Win32.Delf.avn

該病毒屬木馬類,病毒運行後連線網路,下載病毒檔案並運行,修改註冊表,添加啟動項,以達到隨機啟動的目的,修改可執行程式的打開方式,造成部分可執行程式無法使用。下載的病毒檔案可以記錄鍵盤操作,從而盜取用戶的敏感信息,網路遊戲魔獸世界、傳奇、QQ等賬號及密碼,並保存到檔案中,以郵件的形式傳送給病毒作者。病毒進程在任務管理器中顯示為LSASS.EXE與系統進程lsass.exe相近,用以迷惑用戶,他們的區別是大小寫及用戶名。

介紹

病毒名稱:Trojan-Downloader.Win32.Delf.avn
病毒類型:木馬
檔案MD5:41B943A8EB3928B4C336841A6288EFFA
公開範圍:完全公開
危害等級:中
檔案長度:10,752位元組
感染系統:Windows98以上版本
開發工具:BorlandDelphi6.0-7.0
加殼類型:UPX0.89.6-1.02
命名對照:Symentec[infostealer]
Mcafee[無]

病毒描述

該病毒屬木馬類,病毒運行後連線網路,下載病毒檔案並運行,修改註冊表,添加啟動項,以達到隨機啟動的目的,修改可執行程式的打開方式,造成部分可執行程式無法使用。下載的病毒檔案可以記錄鍵盤操作,從而盜取用戶的敏感信息,網路遊戲魔獸世界、傳奇、QQ等賬號及密碼,並保存到檔案中,以郵件的形式傳送給病毒作者。病毒進程在任務管理器中顯示為LSASS.EXE與系統進程lsass.exe相近,用以迷惑用戶,他們的區別是大小寫及用戶名。

行為分析

病毒運行後連線網路、下載病毒檔案

協定:TCP
IP:222.208.183.199:80(四川省眉山市電信)
域名:http://down.136136.net
相關下載:http://down.136136.net/down/host.txt
http://down.136136.net/down/
update\updatexxd.exe
update\updatexdxd.exe
update\updatexdxd4.exe
本地連線埠:隨機開啟本地1024以上連線埠,如:1158
下載病毒檔案路徑名
%windir%\exert.exe
%windir%\io.sys.bak
%windir%\lsass.exe
%system32%\dxdiag.com
%system32%\msconfig.com
%system32%\msime.exe
%system32%\ntdhcp.exe
%system32%\regedit.com
病毒名
Trojan-PSW.Win32.WOW.m
Trojan-PSW.Win32.WOW.m
Trojan-PSW.Win32.WOW.m
Trojan-PSW.Win32.WOW.m
Trojan-PSW.Win32.Lmir.awg
Trojan-PSW.Win32.QQRob.ha
Trojan-PSW.Win32.WOW.m
描述
盜取魔獸世界賬號與密碼
保存記錄鍵盤操作
盜取魔獸世界賬號與密碼
盜取魔獸世界賬號與密碼
盜取魔獸世界賬號與密碼
盜取傳奇賬號與密碼
盜取QQ賬號與密碼
盜取魔獸世界賬號與密碼

隨即啟動

修改註冊表,添加啟動項,以達到隨機啟動的目的
新建註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
鍵值: 字串: "Check_Associations "="No"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\C:\Program Files\common~1
鍵值: 字串: "INTEXPLORE.pif "="INTEXPLORE"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
\Microsoft Soft Debuger\Settings\
鍵值: 字串: "GUID"="{328E1Q-0OP0K4-BYDP3D-OX0426-8JFO39}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\DefaultIcon
鍵值: 字串: "@"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open\Command
鍵值: 字串: "@"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\
鍵值: 字串: "LocalizedString "="INTEXPLORE"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\open\command
鍵值: 字串: "@"=""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\
鍵值: 字串: " KernelFaultCheck " ="C:\WINDOWS\system32\msime.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
鍵值: 字串: " NTdhcp " ="C:\WINDOWS\system32\NTdhcp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
鍵值: 字串: " ToP " ="C:\WINDOWS\LSASS.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum
鍵值: 字串: " 0" ="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}
\ {9B365890-165F-11D0-A195-0020AFD156E4}"
修改註冊表項,修改可執行程式的打開方式,造成部分可執行程式無法使用:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
新建鍵值: 字串: "@"="WindowFiles"
原鍵值: 字串: "@"="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer
\INTEXPLORE.com" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer
\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-
42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer
\INTEXPLORE.com""
舊: 類型: "@"="C:\Program Files\Internet Explorer
\iexplore.exe".
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer
\INTEXPLORE.com" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open
\command
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer
\INTEXPLORE.com" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer
\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell
\opennew\command
新建鍵值: 字串: "@"=""C:\Program Files\common~1
\INTEXPLORE.pif" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer
\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell
\open\command
新建鍵值: 字串: "@"=""C:\Program Files\common~1
\INTEXPLORE.pif" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer
\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
新建鍵值: 字串: "@"="INTEXPLORE.pif"
原鍵值: 字串: "@"="IEXPLORE.EXE"

盜取個人信息

下載的病毒檔案可以記錄鍵盤操作,從而盜取用戶的敏感信息,網路遊戲魔獸世界、傳奇、QQ等賬號及密碼,並保存到檔案中,以郵件的形式傳送給病毒作者。
信箱地址:[email protected]

迷惑用戶

病毒進程在任務管理器中顯示為LSASS.EXE與系統進程lsass.exe相近,用以迷惑用戶,他們的區別是大小寫及用戶名。
註:%windir%是一個可變路徑。病毒通過查詢作業系統來決定當前windows資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me/xp中默認的安裝路徑是C:\Windows。
% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%windir%\exert.exe
%windir%\io.sys.bak
%windir%\lsass.exe
%system32%\dxdiag.com
%system32%\msconfig.com
%system32%\msime.exe
%system32%\ntdhcp.exe
%system32%\regedit.com
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
恢復以下被修改的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
新建鍵值: 字串: "@"="WindowFiles"
原鍵值: 字串: "@"="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command
新建鍵值: 字串: "@"=""C:\Program Files\Internet
Explorer\INTEXPLORE.com" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet
Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{871C5380-42A0-1069-A2EA-08002B30309D}\shell
\OpenHomePage\Command
新建鍵值: 字串: "@"=""C:\Program Files\Internet
Explorer\INTEXPLORE.com""
舊: 類型: "@"="C:\Program Files\Internet Explore
r\iexplore.exe".
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell
\open\command
新建鍵值: 字串: "@"=""C:\Program Files\Internet
Explorer\INTEXPLORE.com" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet
Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
\shell\open\command
新建鍵值: 字串: "@"=""C:\Program Files\Internet
Explorer\INTEXPLORE.com" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet
Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
\shell\opennew\command
新建鍵值: 字串: "@"=""C:\Program Files\common~1
\INTEXPLORE.pif" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet
Explorer\iexplore.exe" %1"、
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell
\open\command
新建鍵值: 字串: "@"=""C:\Program Files\common~1
\INTEXPLORE.pif" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet
Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
新建鍵值: 字串: "@"="INTEXPLORE.pif"
原鍵值: 字串: "@"="IEXPLORE.EXE"
刪除以下註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
\Main\
鍵值: 字串: "Check_Associations "="No"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\C:\Program Files\common~1
鍵值: 字串: "INTEXPLORE.pif "="INTEXPLORE"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
\Microsoft Soft Debuger\Settings\
鍵值: 字串: "GUID"="{328E1Q-0OP0K4-BYDP3D-OX0426-8JFO39}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles
\DefaultIcon
鍵值: 字串: "@"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles
\Shell\Open\Command
鍵值: 字串: "@"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\
鍵值: 字串: "LocalizedString "="INTEXPLORE"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\open\command
鍵值: 字串: "@"=""C:\Program Files\common~1
\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run\
鍵值: 字串: " KernelFaultCheck " ="C:\WINDOWS
\system32\msime.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: " NTdhcp " ="C:\WINDOWS\system32
\NTdhcp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: " ToP " ="C:\WINDOWS\LSASS.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\kmixer\Enum
鍵值: 字串: " 0" ="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}
\ {9B365890-165F-11D0-A195-0020AFD156E4}"

相關詞條

相關搜尋

熱門詞條

聯絡我們