¡¡¡¡¡¡
°²È«ÏìÓ¦¡¤Security
²¡¶¾·ÖÎö±¨¸æ¡¤Report

Trojan-PSW.Win32.Maran.cj·ÖÎö

³ö´¦£º°²ÌìʵÑéÊÒ Ê±¼ä£º2007-05-16 10£º00

²¡¶¾±êÇ©£º

²¡¶¾Ãû³Æ£º Trojan-PSW.Win32.Maran.cj
ÖÐÎÄÃû³Æ£º ÂíÈð¶÷µÁºÅÕß
²¡¶¾ÀàÐÍ£º ľÂíÀà
Îļþ MD5£º 2A08461A388D581B5E24E60828B7DB6C
¹«¿ª·¶Î§£º ÍêÈ«¹«¿ª
Σº¦µÈ¼¶£º 4
Îļþ³¤¶È£º 48,525 ×Ö½Ú
¸ÐȾϵͳ£º Win9XÒÔÉÏϵͳ
¿ª·¢¹¤¾ß£º Borland Delphi 6.0 - 7.0
¼Ó¿ÇÀàÐÍ£º Upack 2.4 - 2.9 beta -> Dwing
ÃüÃû¶ÔÕÕ£º BitDefender[Generic.Malware.FB.078A76C8]
¡¡¡¡¡¡¡¡¡¡ NORMAN[Security Risk W32/Suspicious_U.gen]

²¡¶¾ÃèÊö£º

¡¡¡¡¸Ã²¡¶¾ÔËÐкó£¬ÑÜÉú²¡¶¾Îļþµ½ÏµÍ³Ä¿Â¼Ï¡£ÐÞ¸ÄÓû§ LSPÏîÒÔʵÏÖ²¡¶¾Æô¶¯¡£²¡¶¾Ìå×¢Èë
ϵͳ½ø³ÌÖлñÈ¡Óû§Ãô¸ÐÐÅÏ¢·¢ÍùÖ¸¶¨Ò³Ãæ¡£

ÐÐΪ·ÖÎö£º

1 ¡¢ÑÜÉúÏÂÁи±±¾ÓëÎļþ£º

¡¡¡¡¡¡¡¡%WinDir%\ tl32v20.dll
¡¡¡¡¡¡¡¡%WinDir%\svchost.exe
¡¡¡¡¡¡¡¡%System32%\ tj7viewer.dll

2 ¡¢Ð½¨×¢²á±í¼üÖµ£º

¡¡¡¡¡¡¡¡HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
¡¡¡¡¡¡¡¡Parameters\Protocol_Catalog9\Catalog_Entries\000000000013\PackedCatalogItem
¡¡¡¡¡¡¡¡Value: Type: REG_BINARY Length: 888 (0x378) bytes
¡¡¡¡¡¡¡¡%WINDOWS%\System32\tj7viewer.dll.
¡¡¡¡¡¡¡¡HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
¡¡¡¡¡¡¡¡Parameters\Protocol_Catalog9\Catalog_Entries\000000000012\PackedCatalogItem
¡¡¡¡¡¡¡¡Value: Type: REG_BINARY Length: 888 (0x378) bytes
¡¡¡¡¡¡¡¡%SystemRoot%\system32\mswsock.dll.ÿÿÿ

3 ¡¢ÐÞ¸ÄÏÂÁÐ×¢²á±í¼üÖµ£º

¡¡¡¡¡¡¡¡HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
¡¡¡¡¡¡¡¡Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
¡¡¡¡¡¡¡¡New: Type: REG_BINARY Length: 888 (0x378) bytes
¡¡¡¡¡¡¡¡%WINDOWS\System32\tj7viewer.dll.
¡¡¡¡¡¡¡¡Old: Type: REG_BINARY Length: 888 (0x378) bytes
¡¡¡¡¡¡¡¡%SystemRoot%\system32\mswsock.dll.

4 ¡¢²åÈ벡¶¾Ìå svchost.exe µ½ËùÓÐϵͳ½ø³ÌÖС£

5 ¡¢²¡¶¾·¢ËÍÓû§ÃûÓëÃÜÂëÐÅÏ¢µ½Ä³ PHP Ò³ÃæÖУ¬¸ñʽÈçÏ£º

¡¡¡¡¡¡¡¡http://XXX.com/logger.php

6 ¡¢²¡¶¾ÄÚ·¢ËÍÓë½ÓÊÕ emai ΪÓû§×ÔÉ裬²»¹Ì¶¨¡£

7 ¡¢Æô¶¯·½Ê½ÎªÍ¨¹ý¸Ä±ä LSP ʵÏÖ£¬Ò²¿ÉÉèΪ ActiveX Æô¶¯·½Ê½¡£

×¢£º % System% ÊÇÒ»¸ö¿É±ä·¾¶¡£²¡¶¾Í¨¹ý²éѯ²Ù×÷ϵͳÀ´¾ö¶¨µ±Ç° System Îļþ¼ÐµÄλÖᣠWindows2000/NT ÖÐĬÈϵݲװ·¾¶ÊÇ C:\Winnt\System32 £¬ windows95/98/me ÖÐĬÈϵݲװ·¾¶ÊÇ C:\Windows\System £¬ windowsXP ÖÐĬÈϵݲװ·¾¶ÊÇ C:\Windows\System32 ¡£

Çå³ý·½°¸£º
 

1 ¡¢ ʹÓð²ÌìľÂí·ÀÏ߿ɳ¹µ×Çå³ý´Ë²¡¶¾ ( ÍƼö )

2 ¡¢ ÊÖ¹¤Çå³ýÇë°´ÕÕÐÐΪ·ÖÎöɾ³ý¶ÔÓ¦Îļþ£¬»Ö¸´Ïà¹ØϵͳÉèÖá£
¡¡ ¡¡ (1) ʹÓð²ÌìľÂí·ÀÏ߶ϿªÍøÂ磬½áÊø²¡¶¾½ø³Ì£º
¡¡¡¡¡¡¡¡¡¡¡¡¡¡%WinDir%\svchost.exe
¡¡ ¡¡ (2) ɾ³ý²¢»Ö¸´²¡¶¾Ìí¼ÓÓëÐ޸ĵÄ×¢²á±í¼üÖµ£º
¡¡¡¡¡¡¡¡¡¡¡¡¡¡HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
¡¡¡¡¡¡¡¡¡¡¡¡¡¡Services\WinSock2\Parameters\Protocol_Catalog9\
¡¡¡¡¡¡¡¡¡¡¡¡¡¡Catalog_Entries\000000000013\PackedCatalogItem
¡¡¡¡¡¡¡¡¡¡¡¡¡¡Value: Type: REG_BINARY Length: 888 (0x378) bytes
¡¡¡¡¡¡¡¡¡¡¡¡¡¡%WINDOWS%\System32\tj7viewer.dll.
¡¡¡¡¡¡¡¡¡¡¡¡¡¡HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
¡¡¡¡¡¡¡¡¡¡¡¡¡¡Services\WinSock2\Parameters\Protocol_Catalog9\
¡¡¡¡¡¡¡¡¡¡¡¡¡¡Catalog_Entries\000000000012\PackedCatalogItem
¡¡¡¡¡¡¡¡¡¡¡¡¡¡Value: Type: REG_BINARY Length: 888 (0x378) bytes
¡¡¡¡¡¡¡¡¡¡¡¡¡¡%SystemRoot%\system32\mswsock.dll
¡¡¡¡¡¡¡¡¡¡¡¡¡¡»Ö¸´ÏÂÁÐΪ¾ÉÖµ :
¡¡¡¡¡¡¡¡¡¡¡¡¡¡HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
¡¡¡¡¡¡¡¡¡¡¡¡¡¡Services\WinSock2\Parameters\Protocol_Catalog9\
¡¡¡¡¡¡¡¡¡¡¡¡¡¡Catalog_Entries\000000000001\PackedCatalogItem
¡¡¡¡¡¡¡¡¡¡¡¡¡¡New: Type: REG_BINARY Length: 888 (0x378) bytes
¡¡¡¡¡¡¡¡¡¡¡¡¡¡%WINDOWS\System32\tj7viewer.dll.
¡¡¡¡¡¡¡¡¡¡¡¡¡¡Old: Type: REG_BINARY Length: 888 (0x378) bytes
¡¡¡¡¡¡¡¡¡¡¡¡¡¡%SystemRoot%\system32\mswsock.dll.
¡¡ ¡¡ (3) ɾ³ý²¡¶¾ÊÍ·ÅÎļþ£º
¡¡¡¡¡¡¡¡¡¡¡¡¡¡%WinDir%\ tl32v20.dll
¡¡¡¡¡¡¡¡¡¡¡¡¡¡%WinDir%\svchost.exe
¡¡¡¡¡¡¡¡¡¡¡¡¡¡%System32%\ tj7viewer.dll

¸½£º
 


µã»÷´Ë´¦ÏÂÔØľÂí·ÀÏß2005+

²¡¶¾Éϱ¨ÐÅÏä: submit@virusview.net
[TOP]