找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1789|回复: 2

病毒专杀:Trojan-Downloader.Win32.Delf.epw

[复制链接]

该用户从未签到

发表于 2008-4-18 00:08:17 | 显示全部楼层 |阅读模式
(作者:Greysign)

一、
病毒标签:

病毒名称:
Trojan-Downloader.Win32.Delf.epw

病毒类型:
下载者

File size: 18744 bytes

MD5: 5d179af0aa53476f47d3a1775efc0e04

SHA1: e9a41ea1fcaabea380d04a227e5365909cccceec

PEiD: Upack V0.37 -> Dwing

公开范围:
完全公开
危害等级: C
开发工具:
DELPHI
命名对照:

Rising

20.33.52.00

2008.03.01

Trojan.DL.Win32.Undef.bv

Symantec

10

2008.03.01

Downloader


二、
病毒描述:

该病毒为下载者,通过网页木马进行传播,网马下载来自mm.chsio.comdown.exe然后运行,再通过down.exe下载者病毒下载其他病毒到用户的电脑进行安装。

三、
行为分析:

病毒运行后会释放病毒体至TEMP文件夹(\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

然后建立一个服务:


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "DeleteFlag"


Type: REG_DWORD


Data: 01, 00, 00, 00


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "DisplayName"


Type: REG_SZ


Data: sys_flt


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "ErrorControl"


Type: REG_DWORD


Data: 01, 00, 00, 00


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "ImagePath"


Type: REG_EXPAND_SZ


Data: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~28.tmp



再将自身复制到启动文件夹实现开机自启动。

病毒使用URLDownloadToFileA连接网络下载http://ing.xiaaooo.com/im/ctfmon.exe

然后通过WINEXEC加隐藏参数运行该病毒。

运行后一共添加以下文件:

c:\Documents and Settings\All Users\「开始」菜单\程序\启动\down.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~28.tmp



解决方案:

删除以下文件:

c:\Documents and Settings\All Users\「开始」菜单\程序\启动\down.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~28.tmp

删除服务项目:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt

HOSTS屏蔽ing.xiaaooo.com

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32windows95/98/me中默认的安装路径是C:\Windows\SystemwindowsXP中默认的安装路径是C:\Windows\System32
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

A级
大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。

B级

有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种

C级

有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。

D级

有极少量感染流行,但有一定潜在威胁。

E级

没有发现感染流行。

该用户从未签到

发表于 2008-4-18 00:10:12 | 显示全部楼层
mm.chsio.com  这是啥网站  对系统有什么危害性

该用户从未签到

 楼主| 发表于 2008-4-18 02:17:54 | 显示全部楼层
网站没啥  关键是挂马了..
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表