基本介紹
- 外文名:Trojan-Downloader.Win32.Delf.iwi
- 感染對象:Windows 2000/Windows
- 傳播途徑:網頁木馬,檔案捆綁
- YissAi建議:及時打好漏洞補丁
病毒分析
該樣本被執行後,將驅動檔案“~46.tmp”(46是一個隨機值)釋放到%Temp%目錄下,調用SCM寫註冊表將~46.tmp註冊成名為sys_flt的windows核心服務,並通過相關API啟動;服務啟動後創建磁碟設備“\Device\yyy2”,創建目錄對象“\Device\zzz”,通過函式DeviceIoControl調用相關控制碼得到主DOS分區信息並獲取設備號後關閉句柄;拷貝自身到開始->附屬檔案->啟動組中,打開設備“\Device\yyy2”通過DeviceIoControl傳遞自身控制碼8000F800訪問物理磁碟,利用CopyFileA函式將“%Temp%\~67.tmp”及啟動組中的病毒檔案拷貝到“\\.\yyy2”中,以達到突破還原卡的目的;在“%SystemRoot%\System32\”下釋放批處理檔案Deletedll.bat,執行後刪除“%Temp%\~46.tmp”和Deletedll.bat;病毒調用API函式URLDownloadToFileA從網路上下載各種病毒到系統磁碟根目錄下並執行。
YissAi建議:
1、不要在不明站點下載非官方版本的軟體進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、儘快將您的防毒軟體特徵庫升級到最新版本進行查殺,並開啟防火牆攔截網路異常訪問,如依然有異常情況請注意及時與專業的安全軟體廠商聯繫獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
技術細節
Deletedll.bat檔案內容為:
:try
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~46.tmp"
if exist "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~46.tmp" goto try
del %0
病毒新建的註冊表項:
項:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sys_flt
鍵值:Start(服務啟動方式)
數值數據:00000002
鍵值:ImagePath(服務映像路徑)
數值數據:%Temp%\~46.tmp
鍵值:DisplayName(服務顯示名稱)
數值數據:sys_flt
鍵值:ObjectName(服務對象名稱)
數值數據:LocalSystem
病毒下載木馬的地址:
http://www.***168.cn/gaga/1.exe
http://www.***168.cn/gaga/2.exe
http://www.***168.cn/gaga/3.exe
http://www.********3.com/test/logonsvc.exe