- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
(作者:Greysign)
一、
病毒标签:
病毒名称:
Trojan-Downloader.Win32.Delf.epw
病毒类型:
下载者
File size: 18744 bytes
| MD5: 5d179af0aa53476f47d3a1775efc0e04
| SHA1: e9a41ea1fcaabea380d04a227e5365909cccceec
| PEiD: Upack V0.37 -> Dwing
|
公开范围:
完全公开
危害等级: C
开发工具:
DELPHI
命名对照:
Rising
| 20.33.52.00
| 2008.03.01
| Trojan.DL.Win32.Undef.bv
| Symantec
| 10
| 2008.03.01
| Downloader
|
二、
病毒描述:
该病毒为下载者,通过网页木马进行传播,网马下载来自mm.chsio.com的down.exe然后运行,再通过down.exe下载者病毒下载其他病毒到用户的电脑进行安装。
三、
行为分析:
病毒运行后会释放病毒体至TEMP文件夹(\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp)
然后建立一个服务:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "DeleteFlag"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "DisplayName"
Type: REG_SZ
Data: sys_flt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "ErrorControl"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "ImagePath"
Type: REG_EXPAND_SZ
Data: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~28.tmp
再将自身复制到启动文件夹实现开机自启动。
病毒使用URLDownloadToFileA连接网络下载http://ing.xiaaooo.com/im/ctfmon.exe
然后通过WINEXEC加隐藏参数运行该病毒。
运行后一共添加以下文件:
c:\Documents and Settings\All Users\「开始」菜单\程序\启动\down.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~28.tmp
解决方案:
删除以下文件:
c:\Documents and Settings\All Users\「开始」菜单\程序\启动\down.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~28.tmp
删除服务项目:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt
用HOSTS屏蔽ing.xiaaooo.com
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
A级
大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。
D级
有极少量感染流行,但有一定潜在威胁。
E级
没有发现感染流行。 |
|
IP卡
狗仔卡
发表于 2008-4-18 00:08:17
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡