最新改版

Trojan-Downloader.Win32.Delf.aex分析

上一篇 / 下一篇  2007-05-12 21:21:09 / 个人分类:网络学习

查看( 61 ) / 评论( 3 ) / 评分( 0 / 1 )
病毒标签:
Y$AA*OChY0 病毒名称: Trojan-Downloader.Win32.Delf.aex 云南博客R+B+hh.|+v
病毒类型: 木马
`.q*q"`:p kp0文件 MD5: BA3A40ABA17FB03D8979879CF606E1D4 云南博客 y0g2v,k6{ G2Q
公开范围: 完全公开 云南博客M _d$AZt \(Mf
危害等级: 中 云南博客C8z'L5z#{$P
文件长度: 18,845 字节 云南博客-MR nb1{^7zQ~
感染系统: Windows98以上版本 云南博客JG]3Z9I*i
开发工具: Microsoft Visual C++ 5.0 - 6.0
"D jt[3n.n,_K0加壳类型: FSG 2.0 云南博客)j,@!ep]ASXX7K[
命名对照: Symentec[Downloader.Trojan] 云南博客3CU;Q [ \m_
      Mcafee[无]
L2kv3k"P.P0  云南博客1bRa O(shr1]
病毒描述:
U_ J0U9GE(C(y0   该病毒属木马类。病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件,修改注册表,添加启动项,以达到随机启动的目的,连接网络,开启本地端口,下载病毒文件,修改用户QICQ密码,****用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息,终止反病毒软件的进程,阻止杀毒软件的安装。该病毒对用户有较大危害。 云南博客:q0H"VY_H
 
CS{2c#[,~6sa0行为分析:
pT:z%jquX2T w'y0 1、病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。
/wc(RhX"t0
{WRO;ZH#rV02、病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件: 云南博客#B'?8L1Oe#Z+C
云南博客 _ oza^ {v
%WINDIR%\niw.exe 云南博客U qA]]|jCu+K
%system32%\impai.exe
P]}9B.w"?R0
O\Q#I8I%U03、修改注册表,添加启动项,以达到随机启动的目的:

字串3


k~JdF2`0修改的注册表项:
5Dk6?OV0云南博客O|*Mz$VD@
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile 云南博客$`6pr3M8@.Bb
\shell\open\command 云南博客8m)kM)BBR}
原键值:字串:"默认"="%SystemRoot%\system32
/i-S mG~J0\NOTEPAD.EXE %1." 云南博客p"|1j0t4k v#Z)|/P
修改的键值:字串:"默认"="C:\WINDOWS\system32
)Z]j)P-W0\impai.exe "%1"" 云南博客3EW4a(om8[\
新建注册表项:
Re6Eh%BK3z u0HKEY_CURRENT_USER\Software\Microsoft\Windows
BGxa7]W$LOsq0\CurrentVersion\Run 云南博客$D u5_d:bS.G
键值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
a,{,U#N#_;@$@0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 云南博客5yL.yq X#AK
\CurrentVersion\Run
M$f(fk6ZKo9w0键值: 字串: "Desktop"="C:\WINDOWS\system32
$zs@;?(oe0\rundll32.exe" 云南博客$tg,i#m:sJ5L
"C:\Program Files\DeskAdTop\Run.dll" ,Rundll" 云南博客#K"~"M5sO'\|et1l
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 云南博客6|0D2sdf#O
\
op\%cu?"d4X!t0键值: 字串: "默认"="MonitorURL Class" 云南博客&kx D(~ i
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
[}4J9Q+N8X Z0ql0{08A312BB-5409-49FC-9347 云南博客T8{1M;{1yq}
54BB7D069AC6}\InprocServer32\ 云南博客_p2[iB
键值: 字串: "默认"="C:\PROGRA~1\DESKAD~1
m2h-? |5HE b k*N0\deskipn.dll"
*z1pk m5A2Vk0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
Be.CSN*` \$Dr6o0\\InprocServer32\ 字串2 云南博客"bLpaMMM
键值: 字串: "ThreadingModel "="Apartment"
A ~}-BF,d%C0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 云南博客1U1M2k3pB;tfF
\ProgID
v7z0f]S N2k0键值: 字串: "默认"="MonitorIE.MonitorURL.1" 云南博客PLds"c;h+[E%V
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
Z.X*Ao Z(Y$Q-w~0{08A312BB-5409-49FC-9347
#s`4Q!T+b6A^054BB7D069AC6}\VersionIndependentProgID
a FF6H.h0键值: 字串: "默认"="MonitorIE.MonitorURL" 云南博客d J*xet^ v@$A;z
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
u9foSa{'fw0MonitorURL.1
pfS#?4ycIp8R+[a!pQ0键值: 字串: "默认"="MonitorURL Class" 云南博客#}6Z5w7CEQ
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
? V*qx^8T-oa!X!bF0MonitorURL.1\CLSID 云南博客j3sU8t7m7G
键值: 字串: "默认"="" 云南博客+u^%zci#q1P
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
0@R;V~!Y3vE f0键值: 字串: "默认"="MonitorURL Class"
S%_a3P/Uy GMU0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
E(JcK^5{I G[)F0MonitorURL\CLSID
_&^P;{r'W0键值: 字串: "默认"=""
n#M3JX+Y*]+CA0b-v6o3TK0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE. 云南博客C_2mfOj
MonitorURL\CurVer
%h%^4QIy q)|:b0键值: 字串: "默认"="MonitorIE.MonitorURL.1" 云南博客6p9DT h K$p"j3rm
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
字串4

w(Ru| au7?o xY0\1.0\0\win32 云南博客ws4W-G_
键值: 字串: "默认"="C:\Program Files\DeskAdTop\deskipn.dll"
n8x)NRC#Qq.R)g7V0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
)TOu;R0I0\1.0
b U DKV5T^"W/R0键值: 字串: "默认"="MonitorIE 1.0 Type Library"
-mq5MV1`tI]0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
7~2LmDP]7_0\1.0\ 云南博客$Ia]bk)UP
键值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\" 云南博客P)n:t r\(J9_
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 云南博客 JV4U;d.X7i9W)@
键值: 字串: "DownloadManager"="C:\WINDOWS\system32 云南博客U$sB"@;r(b7m z
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll" 云南博客brk;Pg~0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 云南博客1cp)R5vW|B3E9^mV
\CurrentVersion\Uninstall\桌面媒体
"bD V+h p|0键值: 字串: " DisplayName "="桌面媒体" 云南博客b8[Q\*bC S o
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 云南博客w5F^#NS4Q
\CurrentVersion\Uninstall\桌面媒体 云南博客3k9N o*D'Yf
键值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\" 云南博客 aEmF2Ef
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 云南博客9h)D]#SHB S
\CurrentVersion\Uninstall\桌面媒体 云南博客m*B {0M7`9Lw ns
键值: 字串: "UninstallString"="C:\Program Files\DeskAdTop\DeskUn.exe"
字串3

B7D*r(j"E)C(N0
(Dx4i(Q/Orw$t04、连接网络,开启本地端口,下载病毒文件:
lH4|C-r3K7?0zRm0云南博客'z;B/]qFwL}5w
协议:TCP 云南博客RGQk(f,r4zy m;gO^
端口:随机开启本地1024以上端口,如:1124
_6tK^+Q0IP地址:210.51.168.69 云南博客s |q {ij6X\
下载的病毒文件:
K#tj)M-QpW0%system32%\tmdown.exe 云南博客O7Jg7l,V+l-H
%system32%\tmdown1.exe
J0rjMHtFM+N0%Program Files%\deskadtop\_uninstall
+a&bb` Q2vj0%Program Files%\deskadtop\allverx.dat
z\ {b Lgj0%Program Files%\deskadtop\deskipn.dll 云南博客&h7FEOKS@
%Program Files%\deskadtop\DeskUn.exe
beo9@c\N6c0%Program Files%\deskadtop\Mrup.exe 云南博客%sL/?#d6|E4^/_B'W
%Program Files%\deskadtop\Run.dll 云南博客#oK dy&}1x
%Program Files%\deskadtop\sinfo.ini
&g hmXwp;w'Q0云南博客S ME$R u6Mh
5、修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息:
&c;uZ2R,V[doV#o0QQ尾巴内容为: 云南博客C$T#X^i6U7tM
咱们老同学的校友录有新留言了,你看看吧! 云南博客~$ph/\I)q(w
云南博客L4`?/Xhdv
http://www.0451m***.com/img/chianren.htm
ZSD,ghI E1D,|t0云南博客+?Xvd H-y ]
6、终止反病毒软件的进程,阻止杀毒软件的安装。 云南博客6O%M~,xy
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。 云南博客.r#wQWR[:Bz5~*OW z
  云南博客*zMd^2^ U

1~u#oFd p I}$w s0-------------------------------------------------------------------------------- 字串2 云南博客,L]Z#k:Y[pM
清除方案 : 云南博客/RTh u9IE5X ?!LM#\M
  1、使用安天木马防线可彻底清除此病毒(推荐)。 云南博客H.I.j'~2v/F
云南博客/T%Sx U"T,a*j0U
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 云南博客P`5`O A

6L5Io_%X{0(1) 使用安天木马防线“进程管理”关闭病毒进程
Z#fW? x%pT?)`O0云南博客'wMy?jo!k2yB
(2) 删除病毒文件
C X Le@2MKc0云南博客D(~NM]
%WINDIR%\niw.exe
@&Nazo0c+W;h Y0%system32%\impai.exe 云南博客!xonW T(e h
%system32%\tmdown.exe 云南博客 [&[8_.VffE`tB
%system32%\tmdown1.exe 云南博客-IwbKc|R
%Program Files%\deskadtop\_uninstall
"Bf Ah.nnwF B A0%Program Files%\deskadtop\allverx.dat
5Qjf YkKYQ1c0%Program Files%\deskadtop\deskipn.dll 云南博客6w W1`'Qs Cf(` L
%Program Files%\deskadtop\DeskUn.exe
x+v!{3];Alid5N0%Program Files%\deskadtop\Mrup.exe
e F$iu4k A&S(m7H:~3c0%Program Files%\deskadtop\Run.dll
3}#EFIv c:Q0B }0%Program Files%\deskadtop\sinfo.ini
E:QfB x4LL0
j4db8OjM t]0(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
3i4vDyK `p0
)q|#}__;znv"ec0修改注册表项: 云南博客!sME-`7w m L
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile 云南博客z%Q yUg} [*h
\shell\open\command 云南博客o_8FMMv
键值:字串:"默认"="C:\WINDOWS\system32 云南博客"I4s$v#sk8mB`
\impai.exe "%1""
\3a"]%V]c9v0改为: 云南博客&N,A tm/Im
键值:字串:"默认"="%SystemRoot%\system32 云南博客Apl z @
\NOTEPAD.EXE %1." 云南博客Actz Uf
删除以下注册表项: 云南博客0n|w,qCFl:_"kN:b
HKEY_CURRENT_USER\Software\Microsoft\Windows 字串8 云南博客j!P,\Z*{:@
\CurrentVersion\Run
]*Kk_(M8F*Y0键值: 字串: "NIW "="C:\WINDOWS\NIW.exe" 云南博客 wuC5]q7e.k8PS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 云南博客Z(E_"_i*W't
\CurrentVersion\Run 云南博客 fJ2TCM7c R
键值: 字串: "Desktop"="C:\WINDOWS\system32 云南博客?JcE0gbX
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
w`V%R%\GZ0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
+?&O qQi_#m-A0\\
^ Q |/R1m#K:K0键值: 字串: "默认"="MonitorURL Class" 云南博客,u"oFe.o5T'i3t
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 云南博客1b1J!u vKCi
\\InprocServer32\
n |8i_aQ1h\0键值: 字串: "默认"="C:\PROGRA~1\DESKAD~1\deskipn.dll" 云南博客E&d_|x_L1_is
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 云南博客]"^#h:bph-F:M"m
\\InprocServer32\
q*Eo^,gZ0键值: 字串: "ThreadingModel "="Apartment" 云南博客jnyv#H
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
ET:?"Wu$?0\\ProgID
"\!F;[!@{0键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HOv g+Q$C"H+o0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 云南博客'L7jmR.Q1_d%Y
\\VersionIndependentProgID 云南博客J5R#{E ~.K'`)q
键值: 字串: "默认"="MonitorIE.MonitorURL"
F.x&nr4e.K*[ V0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE. 云南博客 I7c1G!t(P8G/X
MonitorURL.1 字串9
v0ps3_!P4Pr7r a{0键值: 字串: "默认"="MonitorURL Class"
,b)[$B e&a&?8u0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
`%yBTQ8Ke6MC}4Y0MonitorURL.1\CLSID
+Oebu"L^j&Rx%~ F5n0键值: 字串: "默认"=""
1Ui]5}d{X|Y0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
/{ z2?y(V9ty1x0键值: 字串: "默认"="MonitorURL Class" 云南博客iw9AX3_9~3b T
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE. 云南博客m7t&b:b v'W%?%^
MonitorURL\CLSID 云南博客._4KPv-T["KSR;o
键值: 字串: "默认"="" 云南博客2g&O_}3JGd
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE
'a|[,igi0s0j'f0.MonitorURL\CurVer 云南博客pv'X4gy4o
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
dX1CW2c_0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
`%~0bdISL{0\1.0\0\win32 云南博客 E3a o [8a/s
键值: 字串: "默认"="C:\Program Files\DeskAdTop\deskipn.dll" 云南博客'nGOd2V%k
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
P,O`l)_ [0\\1.0
YEo ||9E0键值: 字串: "默认"="MonitorIE 1.0 Type Library"
um:N j^ g1[I0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
\ej Ln0\1.0\ 云南博客G\4n0m9R
键值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\"
2n)e7HP,G0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 云南博客3ZuIe+T%w;t
键值: 字串: "DownloadManager"="C:\WINDOWS\system32
字串8

(@i Vj-U4I k0\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
!h)^#{jo%U,LI#O#Sv0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window 云南博客5S F ~ f#y+i"[d P1J3J
s\CurrentVersion\Uninstall\桌面媒体 云南博客1VE;r8CJ9ty'?
键值: 字串: " DisplayName "="桌面媒体"
V z s fHr%_/J X0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
h`:Y7w a[0\CurrentVersion\Uninstall\桌面媒体
+j(xF k3D0Sm9s0键值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\" 云南博客1kcR M(dIb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
2[5}Y5P9r,k*Z4G0\CurrentVersion\Uninstall\桌面媒体 云南博客Xgw){*|#WQ0b
键值: 字串: "UninstallString"="C:\Program Files 云南博客7iF2H#D y#X
\DeskAdTop\DeskUn.exe"
C C$[6kg0

导入论坛 收藏 分享给好友 推荐到圈子 管理 举报

TAG:

godson 引用 删除 godson   /   2007-09-16 13:16:12
下载者?呵呵,中了这个马,你PING百度是PING的通的。但是就是上不了网,因为它疯狂的从网上下载病毒,带宽全部被消耗了。。。。

杀毒的时候一定要离线杀毒。不然是杀不完的。
引用 删除 Guest   /   2007-09-16 12:42:40
-1
引用 删除 holiday   /   2007-09-16 12:42:31
 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

Open Toolbar