Trojan-PSW.Win32.Delf.qc介紹
病毒名稱: Trojan-PSW.Win32.Delf.qc
病毒類型: 木馬
檔案 MD5: CAA66210E00A4C5A78A73A9588671671
公開範圍: 完全公開
危害等級: 3
檔案長度: 22,964 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
命名對照: BitDefender [ Generic.PWStealer.855706A3 ]
病毒描述
該病毒屬木馬類,病毒運行後衍生病毒檔案到系統目錄下,連線網路,下載病毒檔案到本地運行,修改註冊表,添加啟動項,以達到隨機啟動的目的,該木馬下載的病毒均為盜取網路遊戲及 QQ 的賬號與密碼的木馬。通過 HOOK 系統函式,隱藏病毒進程。
行為分析:
1 、病毒運行後衍生病毒檔案:
%Temp%\c0nime.exe
%Temp%\Gjzo0.dll
%Temp%\iexpl0re.exe
%Temp%\LgSy0.dll
%Temp%\QQ.exe
%Temp%\upxdnd.dll
%Temp%\zt.exe
%Program Files%\Common Files\Microsoft Shared\MSInfo\NewInfo.bmp
%Program Files%\Common Files\Microsoft Shared\MSInfo\system.2dt
%Program Files%\Internet Explorer\PLUGINS\system2.jmp
%Program Files%\Internet Explorer\PLUGINS\System64.sys
%Windir%\cmdbcs.exe
%WINDIR%\mppds.exe
%WINDIR%\mscct.exe
%system32%\cmdbcs.dll
%system32%\drivers\npf.sys
%system32%\fpsini.dll
%system32%\gdipri.dll
%system32%\mppds.dll
%system32%\mscct.dll
%system32%\Packet.dll
%system32%\systemm.exe
%system32%\WanPacket.dll
%system32%\wpcap.dll
2 、修改註冊表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "c15vri220"="%Temp%\c0nime.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "dvzmsw"="%Temp%\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "cmdbcs"="%WINDIR%\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "mppds"="%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "mscct "="%WINDIR%\mscct.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "nwizqjsj"="%system32%\nwizqjsj.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
鍵值 : 字串 : "upxdnd"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\zt.exe"
HKEY_CURRENT_USER\Software\Tencent\Hook2\
鍵值 : 字串 : "First"="wk"
HKEY_CURRENT_USER\Software\Tencent\IeHook
鍵值 : 字串 : "First"="kk"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
\InprocServer32\@
鍵值 : 字串 :"%system32%\gdipri.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
\InProcServer32\@
鍵值 : 字串 :"%Program Files%\Internet Explorer\PLUGINS\System64.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks\
鍵值 : 字串 :"gdipri.dll"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPF\ImagePath
鍵值 : 字串 :"system32\drivers\npf.sys"
3 、病毒以下檔案插入系統正常進程 explorer.exe 中:
%Temp%\Gjzo0.dll
%Temp%\iexpl0re.exe
%Temp%\upxdnd.dll
%system32%\cmdbcs.dll
%system32%\mppds.dll
%system32%\mscct.dll
%Program Files%\Common Files\Microsoft Shared\MSInfo\NewInfo.bmp
%Program Files%\Internet Explorer\PLUGINS\System64.sys
4 、通過 HOOK 系統函式,隱藏病毒進程。
5 、連線網路、下載病毒檔案:
下載地址: M*.p*ga*e*.com/0/mh.exe
域名: M*.p*ga*e*.com
IP 地址: 5*.2*8.2*2.1*3
物理地址:江蘇省徐州市
6 、該病毒下載大量盜號類木馬到本機運行,可以盜取用戶網路遊戲及 QQ 等的賬號與密碼。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線斷開網路,結束病毒進程:
explorer.exe
(2) 刪除病毒檔案:
%Temp%\c0nime.exe
%Temp%\Gjzo0.dll
%Temp%\iexpl0re.exe
%Temp%\LgSy0.dll
%Temp%\qq.exe
%Temp%\upxdnd.dll
%Temp%\zt.exe
%Program Files%\Common Files\Microsoft
Shared\MSInfo\NewInfo.bmp
%Program Files%\Common Files\Microsoft
Shared\MSInfo\system.2dt
%Program Files%\Internet Explorer\PLUGINS\system2.jmp
%Program Files%\Internet Explorer\PLUGINS\System64.sys
%WINDIR%\cmdbcs.exe
%WINDIR%\mppds.exe
%WINDIR%\mscct.exe
%system32%\cmdbcs.dll
%system32%\drivers\npf.sys
%system32%\fpsini.dll
%system32%\gdipri.dll
%system32%\mppds.dll
%system32%\mscct.dll
%system32%\Packet.dll
%system32%\systemm.exe
%system32%\WanPacket.dll
%system32%\wpcap.dll
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "c15vri220"="%Temp%\c0nime.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "dvzmsw"="%Temp%\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "cmdbcs"="%WINDIR%\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "mppds"="%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "mscct "="%WINDIR%\mscct.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "nwizqjsj"="%system32%\nwizqjsj.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\
鍵值 : 字串 : "upxdnd"="C:\DOCUME~1\COMMAN~1\
LOCALS~1\Temp\zt.exe"
HKEY_CURRENT_USER\Software\Tencent\Hook2\
鍵值 : 字串 : "First"="wk"
HKEY_CURRENT_USER\Software\Tencent\IeHook
鍵值 : 字串 : "First"="kk"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
\InprocServer32\@
鍵值 : 字串 :"%system32%\gdipri.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
\InProcServer32\@
鍵值 : 字串 :"%Program Files%\Internet
Explorer\PLUGINS\System64.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks\
鍵值 : 字串 :"gdipri.dll"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
NPF\ImagePath
鍵值 : 字串 :"system32\drivers\npf.sys"
