病毒标签: 病毒名称: Backdoor.Win32.Delf.auu 病毒类型: 后门 文件 MD5: EABD999F3ED54E94657F042877E2D993 公开范围: 完全公开 危害等级: 3 文件长度: 683,520 字节 感染系统: windwos98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 命名对照: 驱逐舰[BackDoor.Symfly] BitDefender [无] 病毒描述: 该病毒属后门类,病毒图标为DLL文件的图标,用以迷惑用户。病毒运行后衍生病毒文件到系统目录下,并在系统根目录下新建空文件夹Downloads,用以存放以后下载的文件,病毒进程名为winlogon.exe,伪装成系统进程,但文件路径是%system32%\wbem\winlogon.exe。修改注册表,连接网络。该病毒可以监听指定进程和端口,从而获取用户在网络上收发的数据包,盗用户敏感信息等。 行为分析: 1、病毒运行后衍生病毒文件到系统目录下:
%system32%\SysOption.bin %system32%\wmvdmoes32.dll %system32%\wbem\winlogon.exe %system32%\wbem\kbd101ab.dll %system32%\wbem\SysOption.bin
2、在系统根目录下新建空文件夹Downloads,用以存放以后下载的文件。
3、病毒进程名为winlogon.exe,伪装成系统进程,但文件路径是%system32%\wbem\winlogon.exe。
4、修改注册表:
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\.fy\ 键值: 字串: "Permissions"="1" HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\.fy\ 键值: 字串: "Runtime"="1" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\ 键值: 字串: "@"="SysBackHelper Object" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\LocalServer32\ 键值: 字串: "@"="病毒所在路径" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9-8400-4A49-B2E5 CE8550EB1347}\ProxyStubClsid\ 键值: 字串: "@"="{00020424-0000-0000-C000-000000000046}" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9-8400-4A49-B2E5-CE8550EB1347}\TypeLib\ 键值: 字串: "Version"="1.0" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\ 键值: 字串: "@"="SysBackHelper Object" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\Clsid\ 键值: 字串: "@"="{881F6F06-4620-4070-AD05-BD77D4C56661}"
5、连接网络,下载病毒文件和广告件,但均已失效:
http://update.j7y.net/NewUpdate/wbem\lsass.exe
6、该病毒可以监听指定进程和端口,从而获取用户在网络上收发的数据包,盗用户敏感信息等。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
-------------------------------------------------------------------------------- 清除方案: 1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
winlogon.exe
(2) 删除病毒文件
%system32%\SysOption.bin %system32%\wmvdmoes32.dll %system32%\wbem\winlogon.exe %system32%\wbem\kbd101ab.dll %system32%\wbem\SysOption.bin
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer \Player\Extensions\.fy\ 键值: 字串: "Permissions"="1" HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer \Player\Extensions\.fy\ 键值: 字串: "Runtime"="1" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F 6F06-4620-4070-AD05-BD77D4C56661}\ 键值: 字串: "@"="SysBackHelper Object" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06 -4620-4070-AD05 BD77D4C56661}\LocalServer32\ 键值: 字串: "@"="病毒所在路径" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9 -8400-4A49-B2E5-CE8550EB1347}\ProxyStubClsid\ 键值: 字串: "@"="{00020424-0000-0000-C000-000000000046}" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9 -8400-4A49-B2E5-CE8550EB1347}\TypeLib\ 键值: 字串: "Version"="1.0" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\ 键值: 字串: "@"="SysBackHelper Object" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\Clsid\ 键值: 字串: "@"="{881F6F06-4620-4070-AD05-BD77D4C56661}"
|