|
病毒标签:
病毒名称: Backdoor.Win32.Delf.auu
病毒类型: 后门
文件 MD5: EABD999F3ED54E94657F042877E2D993
公开范围: 完全公开
危害等级: 3
文件长度: 683,520 字节
感染系统: windwos98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
命名对照: 驱逐舰[BackDoor.Symfly]
BitDefender [无]
病毒描述:
该病毒属后门类,病毒图标为DLL文件的图标,用以迷惑用户。病毒运行后衍生病毒文件到系统目录下,并在系统根目录下新建空文件夹Downloads,用以存放以后下载的文件,病毒进程名为winlogon.exe,伪装成系统进程,但文件路径是%system32%\wbem\winlogon.exe。修改注册表,连接网络。该病毒可以监听指定进程和端口,从而获取用户在网络上收发的数据包,盗用户敏感信息等。
行为分析:
1、病毒运行后衍生病毒文件到系统目录下:
%system32%\SysOption.bin
%system32%\wmvdmoes32.dll
%system32%\wbem\winlogon.exe
%system32%\wbem\kbd101ab.dll
%system32%\wbem\SysOption.bin
2、在系统根目录下新建空文件夹Downloads,用以存放以后下载的文件。
3、病毒进程名为winlogon.exe,伪装成系统进程,但文件路径是%system32%\wbem\winlogon.exe。
4、修改注册表:
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\.fy\
键值: 字串: "Permissions"="1"
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\.fy\
键值: 字串: "Runtime"="1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\
键值: 字串: "@"="SysBackHelper Object"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\LocalServer32\
键值: 字串: "@"="病毒所在路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9-8400-4A49-B2E5
CE8550EB1347}\ProxyStubClsid\
键值: 字串: "@"="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9-8400-4A49-B2E5-CE8550EB1347}\TypeLib\
键值: 字串: "Version"="1.0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\
键值: 字串: "@"="SysBackHelper Object"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\Clsid\
键值: 字串: "@"="{881F6F06-4620-4070-AD05-BD77D4C56661}"
5、连接网络,下载病毒文件和广告件,但均已失效:
http://update.j7y.net/NewUpdate/wbem\lsass.exe
6、该病毒可以监听指定进程和端口,从而获取用户在网络上收发的数据包,盗用户敏感信息等。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
winlogon.exe
(2) 删除病毒文件
%system32%\SysOption.bin
%system32%\wmvdmoes32.dll
%system32%\wbem\winlogon.exe
%system32%\wbem\kbd101ab.dll
%system32%\wbem\SysOption.bin
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer
\Player\Extensions\.fy\
键值: 字串: "Permissions"="1"
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer
\Player\Extensions\.fy\
键值: 字串: "Runtime"="1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F
6F06-4620-4070-AD05-BD77D4C56661}\
键值: 字串: "@"="SysBackHelper Object"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06
-4620-4070-AD05
BD77D4C56661}\LocalServer32\
键值: 字串: "@"="病毒所在路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9
-8400-4A49-B2E5-CE8550EB1347}\ProxyStubClsid\
键值: 字串: "@"="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{468262B9
-8400-4A49-B2E5-CE8550EB1347}\TypeLib\
键值: 字串: "Version"="1.0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\
键值: 字串: "@"="SysBackHelper Object"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VCFIWZDY32.VCFIWZDY\Clsid\
键值: 字串: "@"="{881F6F06-4620-4070-AD05-BD77D4C56661}"
|
