|
病毒名称:Trojan-Spy.Win32.Delf.vw [exe](Kaspersky)
病毒别名:Trojan.PSW.Win32.Agent.qa [exe](瑞星)
病毒大小:23,285 字节
加壳方式:UPX
样本MD5:eb7423cd13b67cf1a9ea24dd2bee541f
样本SHA1:a086686d52a147dc63d97eb54911b74eb6e947d0
发现时间:2007.7
更新时间:2007.7.12
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
木马运行后将自身复制到:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup
释放dll注入进程:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins
创建ShellExecuteHooks启动信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{014A26F5-FBAD-4549-9CA1-C38210704BD1}"=""
[HKEY_CLASSES_ROOT\CLSID\{014A26F5-FBAD-4549-9CA1-C38210704BD1}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins"
在注册表中添加信息:
[HKEY_CURRENT_USER\Software\Tencent\Ie]
"First"
尝试访问网络下载其它病毒、木马或恶意程序保存到%temp%目录下。
清除步骤
==========
1. 删除病毒创建的ShellExecuteHooks项(开始菜单-运行-输入“regedit”):
[HKEY_CLASSES_ROOT\CLSID\{014A26F5-FBAD-4549-9CA1-C38210704BD1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{014A26F5-FBAD-4549-9CA1-C38210704BD1}"
2. 重新启动计算机
3. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup
4. 删除注册表内容(开始菜单-运行-输入“regedit”):
[HKEY_CURRENT_USER\Software\Tencent\Ie]
|
