文件名称:MySetup.exe 文件大小:19625 byte AV命名: Trojan-Downloader.Win32.Delf.b(卡吧) 依赖平台:Windows(9X以上系统) 加壳方式:FSG 2.0+Morphine 1.2 - 1.3 编写语言:Borland Delphi 6.0 - 7.0 病毒类型:Downloader 文件MD5:201b62807656299cd99d6f07f4c3d93b 文件SHA1 : da39a3ee5e6b4b0d3255bfef95601890afd80709 危害等级:★ ☆ 传播方式:U盘等移动介质、网络。 行为分析: 1、释放病毒文件: %Systemroot%\system32\MySetup.exe 19625 字节 %Systemroot%\system32\SoftDLL.dll 29184 字节 %Systemroot%\system32\SoftVersion.ini 488 字节 2、SoftDLL.dll 检测进程Explorer进程并注入。 3、SoftDLL.dll遍历磁盘,C-Z盘下生成:Autorun.inf和MySetup.exe Autorun.inf内容: OPEN=MySetup.exe 并监视移动盘介入,尝试在其跟目录生成病毒附本。 4、删除文件: %Systemroot%\system32\verclsid.exe 21264 字节 5、写注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 指向SoftDLL.dll(开机注入Explorer进程。) 禁止自动更新:
注册表键 AU HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate 禁用系统自带防火墙: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallPolicy 注册表键 StandardProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\StandardProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall (2K系统不受影响) o(∩_∩)o 6、修改注册表 破坏显示隐藏文件: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 借助AppInit_DLLs开机注入。 7、随后读取SoftVersion.ini列表(自带87位算法校验)反弹连接38.100.19.*** 尝试下载木马,不过未实现。 (不给连接了``要样本自己按图上地址打吧``=。=) 解决方法: 到down.45it.com下载:sreng2.zip和IceSword120_cn.zip(以下简称冰刃) 下载到桌面,关闭不需要的进程。。。 1、打开冰刃,设置—禁止进线程创建—确定。 2、利用冰刃“文件”功能((详细步骤:打开冰刃-文件-依次找到病毒文件删除即可)),删除: %Systemroot%\system32\MySetup.exe 19625 字节 %Systemroot%\system32\SoftDLL.dll 29184 字节 %Systemroot%\system32\SoftVersion.ini 488 字节(这个没找到的话忽略) 每个分区下(C-Z)的Autorun.inf和MySetup.exe 3、利用冰刃“注册表”功能,删除: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\下的 AU整个键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy下的 StandardProfile整个键 (注意看清楚,不要删除错了!) 4、设置冰刃,重启并监视。 5、重启后打开SREng,删除: 注册表(详细步骤:打开SREng-启动项目-注册表): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{A781A1EC-975E-4718-AF5E-A3F552D55C41}><C:\winnt\system32\SoftDLL.dll> [] <{A781A1EC-975E-4718-AF5E-A3F552D55C41}这个可能不一样 |