安全响应·Security
病毒分析报告·Report

Trojan-Spy.Win32.Delf.uv分析

出处:安天CERT 时间:2007-09-06 14:30

病毒标签:

病毒名称: Trojan-Spy.Win32.Delf.uv
病毒类型: 木马类
文件 MD5: AEB1EC3571803651FB644C73C4521BD5
公开范围: 完全公开
危害等级: 4
文件长度: 12,683 字节
感染系统: Win98以上版本
开发工具: Upack 0.3.9 beta2s
命名对照: AVG     [PSW.OnlineGames.FQT]
      Mcafee    [PWS-OnlineGames.f]

病毒描述:

  该病毒属木马类,病毒运行后衍生病毒文件到系统目录system32下,并删除自身;修
改注册表,创建CLSID组件建值,以达到将病毒衍生的DLL文件在开机时注入explorer.exe
中的目的;新建注册表键值,用以屏蔽windows自动更新按钮;该病毒可以收集用户信息,
发送到指定服务器。
行为分析:

本地行为:

1、病毒运行后衍生病毒文件到系统目录下:

    %system32%\mydini.dll
    %system32%myeins.exe
    %system32%myepri.dll

2、病毒利用DAT文件删除自身。

3、新建注册表键

     [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5562452F-FA36-BA4F-
     892A-FF5FBBAC5315}\InprocServer32]
     注册表键:"@"
     注册表值:"C:\WINDOWS\system32\myepri.dll"
     描述:新建CLSID组件键值

     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
     Explorer\ShellExecuteHooks]
     注册表键:"{5562452F-FA36-BA4F-892A-FF5FBBAC5315}"
     注册表值: "myepri.dll"
     描述:将myepri.dll注入到系统进程explorer.exe中,可达到随机启动的目的。

     [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
     注册表键:"AUOptions"
     类型:DWORD
     注册表值:1 (0x1)

     [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
     注册表键:"NoAutoUpdate"
     类型:DWORD
     注册表值:1 (0x1)
     描述:屏蔽windows自动更新按钮

4、病毒衍生的文件myepri.dll插入到系统进程explorer.exe中。

网络行为:

利用send函数将收集到的用户信息发送到指定服务器:
     IP地址:219.133.63.***


注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32       

 
清除方案:
 

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用安天木马防线“进程管理”关闭病毒进程:
        myeins.exe
    (2)删除病毒文件: 
        %system32%\mydini.dll
        %system32%myeins.exe
        %system32%myepri.dll
               
    (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
       [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5562452F-FA36-
       BA4F-892A-FF5FBBAC5315}\InprocServer32]
       注册表键:"@"
       注册表值:"C:\WINDOWS\system32\myepri.dll"
       描述:新建CLSID组件键值
       [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
       \CurrentVersion\Explorer\ShellExecuteHooks]
       注册表键:"{5562452F-FA36-BA4F-892A-FF5FBBAC5315}"
       注册表值: "myepri.dll"
       描述:将myepri.dll注入到系统进程explorer.exe中,
       可达到随机启动的目的。            
       [HKEY_LOCAL_MACHINE\SOFTWARE\Policies
       \Microsoft\Windows\WindowsUpdate\AU]
       注册表键:"AUOptions" 类型:DWORD
       注册表值:1 (0x1)
       [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft
       \Windows\WindowsUpdate\AU]
       注册表键:"NoAutoUpdate"
       类型:DWORD
       注册表值:1 (0x1)
       描述:屏蔽windows自动更新按钮

附:
 


点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]