病毒标签:
云南博客5L6R�r�i�V9Q3B 病毒名称: Trojan-Downloader.Win32.Delf.ain
0G�Q5H�@�S�[0病毒类型: 木马
�i�`�G&{1K'k�Y(Z0文件 MD5: 8B10932BA81F41561EA62FF3E0426A17
云南博客�k)o3y8[�Z�v�U2[)H�K公开范围: 完全公开
�W�L*l�b�_�F
I7M�J4k�q0危害等级: 中
/V�B�z�^'A9H�R�C0文件长度: 66,056 字节
�n�s'G�W$m0感染系统: windows98以上版本
云南博客,n�M�Y�G�~�?5~ ~$Z开发工具: Microsoft Visual C++ 6.0
云南博客0V�q�n1z�f�\�R�R;Y
r�^�I加壳类型: 未知壳
�}&U `�?�N+i0命名对照: Symentec[Hacktool]
�L�R)H4~0G5C�H�G0 Mcafee[无]
云南博客8? o8y�_�x;\1K"F 1I�A)\�e�p�i0病毒描述:
(~
r�v�j7y�Z�f�g0 该病毒属木马类,病毒运行后在%system32%\CatRoot2下新建了大量.log文件,用以记录键盘操作,从而盗取用户敏感信息,并以邮件的形式发送给病毒作者。释放修改系统时间的文件到文件夹%system32%\CatRoot2下,使病毒文件的新建时间与系统时间不一至,同时释放文件碎片恢复文件%system32%\CatRoot2\.edb.chk,此文件可以恢复被删除的病毒文件,给手工删除此病毒带来了一定的困难。此病毒对用户有一定危害。
云南博客�W�G�^*a�g�_1{ 云南博客�@5o7W�r�k*}�E3I行为分析:
$x$I7s+[2V,}!{�^%{:R0 1、病毒运行后在%system32%\CatRoot2下新建了大量.log文件,用以记录键盘操作:
云南博客"`�j1Q�E�P9}�Y,I�R9e(j:F�O�U
S�C/h!K0%system32%\CatRoot2\res1.log
云南博客9M�F�s�l�Z�W�m�{ ? N�B%system32%\CatRoot2\res2.log
5O4|
}1x:[&x0%system32%\CatRoot2\edb.log
云南博客�_+i�q*E�E e%system32%\CatRoot2\dberr.txt
字串5
云南博客�F�^�b%Q�g�y v%system32%\CatRoot2\edbtmp.log
5|'K�O,I0K�t�q0%system32%\CatRoot2\edb0001b.log
云南博客�y3a q7b7J0l�X3u�f$\2C云南博客�Y,| x v�w$y�P�Q4a�W�M�n�\5h02、病毒记录键盘操作,并以邮件的形式发送给病毒作者:
云南博客�x$n%Y
b�s)^5_�H:I�\2^�e云南博客*? S8}5?%e&e8A�A病毒作者邮箱:refdom@263.net
*J�m
Q6_:U5\�[09\ B#A o�v6W�Z�k�v03、释放修改系统时间的文件到文件夹%system32%\CatRoot2下,使病毒文件的新建时间与系统时间不一至:
云南博客�F9`�y"f%L�f5y2m�?
N,W�?+E�w$l0%system32%\CatRoot2\\catdb
云南博客�u�w�T�y�}�]2V�y
o%system32%\CatRoot2\\TimeStamp
�d6s*d F�w Q�n0%system32%\CatRoot2\\ catdb
云南博客�M�e8q�Q3W%system32%\CatRoot2\\ TimeStamp
云南博客(I*L(?�I�C�n;E(b%system32%\CatRoot2\tmp.edb
云南博客5t5E�C;u�R�@;Q�U2O%z/E�}云南博客�Z�n$]"a�k�I�c�^�f�t�O;y%y4、释放文件碎片恢复文件,用来恢复被删除的病毒文件,从而给手工删除此病毒带来了一定的困难:
云南博客9U�Y$f8G�n
a�f4g:h;p#w3N�j0%system32%\CatRoot2\.edb.chk
云南博客(T)g�n�w�S9u�T�})P&C
F�j/c4A0注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
云南博客/p2h�x�e�c�E6b�U�x 云南博客7_�G
h+T�F�T5C3v�^+[)_云南博客;g�U;j&X�|,M�F--------------------------------------------------------------------------------
云南博客�m&P/d�p!H0S�h清除方案 :
云南博客�?:^�Z�Z K 1、使用安天木马防线可彻底清除此病毒(推荐)。
云南博客�W+u�] ]']�[0r
X�M�R�}!x02、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
字串3
云南博客�q�Z;C�X.H�j�\1m"w5h�r�b9]0(1) 使用安天木马防线“进程管理”关闭病毒进程
&^7U�Y�l @5S5j'_#E�f0(2) 删除病毒文件
�G+A-{$T�^�D�U0�|�K-i0H�[0%system32%\CatRoot2\res1.log
云南博客�c+x�Y3S9o;^%system32%\CatRoot2\res2.log
�M-T�}�v"\�A.A0%system32%\CatRoot2\edb.log
1b�M4g [�h7\(`2P I0%system32%\CatRoot2\dberr.txt
/r0E�],k�c�N�_0%system32%\CatRoot2\edbtmp.log
:`�P
E+J�B
j Z�h0%system32%\CatRoot2\edb0001b.log
云南博客�E2b&I2j9L�m�d�s8[%system32%\CatRoot2\\catdb
�G
p;U0b4z�H%J�u5O0%system32%\CatRoot2\\TimeStamp
云南博客2I�u"?
o({7M%system32%\CatRoot2\\ catdb
云南博客 D-u�s�o%I�W�V�i�H�U%system32%\CatRoot2\\ TimeStamp
云南博客�`9L/w�B�^2X.x�}%system32%\CatRoot2\tmp.edb
$]�R�p.I0I6F0%system32%\CatRoot2\.edb.chk
