特洛伊病毒Win32.TalpalkFamily

特洛伊病毒Win32.Talpalk Family,其它名稱:PWS-Banker.gen.i (McAfee) , Infostealer (Symantec), Win32/Talpalk!generic, Trojan-Spy.Win32.Delf.iu (Kaspersky), Backdoor:Win32/Hupigon!1452 (MS OneCare),屬於特洛伊木馬,中等危害 ;其病毒特性:Win32/Talpalk是一族盜竊敏感信息的特洛伊病毒。

基本介紹

感染方式,病毒危害,清除方式,

感染方式

運行時,Talpalk複製到%Windows%目錄,不同的變體使用的檔案名稱不同,有些變體使用以下檔案名稱:
FILENAME.EXE
MAYA.EXE
testy.exe
rundll23.exe
Talpalk會修改註冊表,以確保在每次系統啟動時運行病毒,例如:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\Maya = "%Windows%\maya.exe"
Talpalk還可能修改以下註冊表:
HKLM\SOFTWARE\Microsoft\Windows\winkthink =
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
HKLM\SOFTWARE\Microsoft\Windows\yobitch = "Maya"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
\Maya\StubPath = "%Windows%\maya.exe"
Talpalk變體還會在%Windows%目錄生成一個DLL檔案。
註:'%Windows %'是一個可變的路徑。病毒通過查詢作業系統來決定Windows資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。

病毒危害

修改系統設定
Talpalk通過修改註冊表改變很多系統設定:
使Windows XP SP2 以後版本的Windows Firewall失效:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\EnableFirewall=0x0
使Windows XP SP2 以後版本的Firewall Notifications失效:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\DisableNotifications =0x1
使AutoComplete失效:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
\AutoComplete\AutoSuggest=”NO”
HKCU\Software\Microsoft\Internet Explorer\Main\Use FormSuggest="no”
HKCU\Software\Microsoft\Internet Explorer\Main\FormSuggest PW Ask="no
使Yahoo Pager 密碼保存和Yahoo Pager 自動登入失效:
HKCU\Software\Yahoo\Pager\Save Password=0x0
HKCU\Software\Yahoo\Pager\Auto Login=0x0
Disables storage of credentials or .NET Passports for network authentication
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\disabledomaincreds=0x1
Disables saved passwords associated with Network Connection phone book entries
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
\DisableSavePassword=1
Talpalk 還會刪除以下鍵值:
HKCU\Software\Mirabilis\ICQ\NewOwners
HKLM\Software\Mirabilis\ICQ\NewOwners
HKCU\Software\PalTalk
HKCU\Software\Microsoft\IdentityCRL
Talpalk刪除以下檔案和/或目錄:
\config\SteamAppData.vdf
指以下鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Valve\Steam\InstallPath.
刪除存儲與“Steam”遊戲相關的帳戶的檔案。
在以下目錄中的所有檔案和目錄 C:\My RoboForm Data (利用RoboForm 保存密碼)
在目錄下的所有檔案和目錄。
這裡的 指以下鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
\Shell Folders\Cookies
\Mozilla 和 \Opera
這裡的 指以下鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
\Shell Folders\AppData
盜竊敏感信息
Talpalk安裝一個系統hoook來監控鍵盤和滑鼠的輸入,為了盜竊敏感信息。它監控MSN Messenger和視窗標題包含以下字元串的軟體:
.NET Messenger
Anmelden
Anonygold. com
ANZ Internet Banking
AOL. com
Bank of America
Bank one
BankCard
BankWest Online banking
Barclays IBank
bendigobank. com. au - bendigo e-banking
Capital One Online
Chase. com
Chevy Chase Bank
Citibank
e-gold Account
Electronic Money Orders
Gawab. com , Users
HSBC Bank
HYIP Lister
ib.national. com. au - Welcome
iKobo Money Transfer
ING Direct
INT Gold
internetbanking.suncorpmetway. com. au -
Jack henry & Associates
Key Bank
Login
Login - Steam
Login to Paltalk
moneybookers. com
moneybookers. com - and money moves
MoneyMakerGroup
NatWest
NetBank
On-line Dealing Site
Online Account Access Login
Online Service
PayPal
Pecunix
Please Sign In
PNC Bank
RBC
Reality Cycler
Register for Online Access
Rietumu banka
Safe-mail. net
Screen Name Sign In
SFIpay
Sign In
Sign On
St.George Internet Banking Logon
The Universal Payment System
U.S. Bank
V-Money
Wachovia
Walla! - free 1G
Welcome to Gmail
Welcome to paltalk
Wells Fargo
Westpac online - Sign In
WorldPay
www2.netbank.commbank.com. au - Logon
XEtrade - Log in Page
Yahoo! Mail - The Best
Talpalk將記錄的信息保存到 %Windows%\mpdb.dat ,並將它傳送到一個特定的URL,傳送成功後刪除 %Windows%\mpdb.dat 檔案。Talpalk 運行時生成一個臨時檔案c:\ali.html。

清除方式

KILL安全胄甲最新版本可檢測/清除此病毒。

相關詞條

熱門詞條

聯絡我們