病毒名称:Trojan-Spy.Win32.Delf.vw [exe](Kaspersky) 病毒别名:Trojan.PSW.Win32.Agent.qa [exe](瑞星) 病毒大小:23,285 字节 加壳方式:UPX 样本MD5:eb7423cd13b67cf1a9ea24dd2bee541f 样本SHA1:a086686d52a147dc63d97eb54911b74eb6e947d0 发现时间:2007.7 更新时间:2007.7.12 关联病毒: 传播方式:通过恶意网页传播、其它木马下载
技术分析 ==========
木马运行后将自身复制到: %ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup 释放dll注入进程: %ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins
创建ShellExecuteHooks启动信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{014A26F5-FBAD-4549-9CA1-C38210704BD1}"=""
[HKEY_CLASSES_ROOT\CLSID\{014A26F5-FBAD-4549-9CA1-C38210704BD1}\InProcServer32] @="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins"
在注册表中添加信息:
[HKEY_CURRENT_USER\Software\Tencent\Ie] "First"
尝试访问网络下载其它病毒、木马或恶意程序保存到%temp%目录下。
清除步骤 ==========
1. 删除病毒创建的ShellExecuteHooks项(开始菜单-运行-输入“regedit”):
[HKEY_CLASSES_ROOT\CLSID\{014A26F5-FBAD-4549-9CA1-C38210704BD1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{014A26F5-FBAD-4549-9CA1-C38210704BD1}"
2. 重新启动计算机
3. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除): %ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins %ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup
4. 删除注册表内容(开始菜单-运行-输入“regedit”):
[HKEY_CURRENT_USER\Software\Tencent\Ie]
|