- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
作者:Greysign
一、 病毒标签:
病毒名称: Trojan.Win32.Delf.atj
病毒类型: 木马
文件大小 : 321317 byte
文件类型 : Zip archive data, at least v2.0 to extract
MD5 : 78f3a5fc1ad2cc053b00c59a1a1c509b
SHA1 : b20493e99825fecec38648f52ef2897ab03e3f2a
公开范围: 完全公开
危害等级: C
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: VPacker壳
命名对照:
金山毒霸 Win32.Troj.Delf.1003520
CA (VET) Win32/Beezelf.A trojan.
专杀工具下载
二、 病毒描述:
该程序为木马程序,运行后衍生病毒文件taskmgre.exe在系统目录system32,并通过修改注册表增加系统启动项目达到开机启动自身。程序在后台连接网络打开一些网站连接进行刷流量。
三、 行为分析:
运行后衍生文件至:
c:\WINDOWS\system32\taskmgre.exe
Size: 326,635 bytes
修改注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform " http://www.google.com/ Embedded Web Browser from: http://bsalsa.com/"
Type: REG_SZ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform "http://www.google.com/ Embedded Web Browser from: http://bsalsa.com/"
Type: REG_SZ
增加启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "taskmgre"
Type: REG_SZ
Data: C:\WINDOWS\system32\taskmgre.exe
后台打开大量地址自动刷流量:
解决方案:
结束taskmgre.exe进程(注意不是任务管理器进程Taskmgr.exe)。
删除文件:
C:\WINDOWS\system32\taskmgre.exe
删除启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "taskmgre"
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
A级
大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。
D级
有极少量感染流行,但有一定潜在威胁。
E级
没有发现感染流行。 |
|
IP卡
狗仔卡
发表于 2008-1-29 01:49:31
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡
又是病毒