Trojan-PSW.Win32.Maran.cj

病毒名称： Trojan-PSW.Win32.Maran.cj

中文名称： 马瑞恩盗号者

病毒类型： 木马类

文件 MD5： 2A08461A388D581B5E24E60828B7DB6C

公开范围： 完全公开

危害等级： 4

文件长度： 48,525 字节

感染系统： Win9X以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： Upack 2.4 - 2.9 beta -> Dwing

命名对照： BitDefender[Generic.Malware.FB.078A76C8]

NORMAN[Security Risk W32/Suspicious_U.gen]

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下。修改用户 LSP项以实现病毒启动。病毒体注入

系统进程中获取用户敏感信息发往指定页面。

行为分析：

1 、衍生下列副本与文件：

%WinDir% tl32v20.dll

%WinDir%svchost.exe

%System32% tj7viewer.dll

2 、新建注册表键值：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2

ParametersProtocol_Catalog9Catalog_Entries00000000013PackedCatalogItem

Value: Type: REG_BINARY Length: 888 (0x378) bytes

%WINDOWS%System32j7viewer.dll.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2

ParametersProtocol_Catalog9Catalog_Entries00000000012PackedCatalogItem

Value: Type: REG_BINARY Length: 888 (0x378) bytes

%SystemRoot%system32mswsock.dll.��

3 、修改下列注册表键值：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2

ParametersProtocol_Catalog9Catalog_Entries00000000001PackedCatalogItem

New: Type: REG_BINARY Length: 888 (0x378) bytes

%WINDOWSSystem32j7viewer.dll.

Old: Type: REG_BINARY Length: 888 (0x378) bytes

%SystemRoot%system32mswsock.dll.

4 、插入病毒体 svchost.exe 到所有系统进程中。

5 、病毒发送用户名与密码信息到某 PHP 页面中，格式如下：

http://XXX.com/logger.php

6 、病毒内发送与接收 emai 为用户自设，不固定。

7 、启动方式为通过改变 LSP 实现，也可设为 ActiveX 启动方式。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

清除方案：

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线断开网络，结束病毒进程：

%WinDir%svchost.exe

(2) 删除并恢复病毒添加与修改的注册表键值：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesWinSock2ParametersProtocol_Catalog9

Catalog_Entries00000000013PackedCatalogItem

Value: Type: REG_BINARY Length: 888 (0x378) bytes

%WINDOWS%System32j7viewer.dll.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesWinSock2ParametersProtocol_Catalog9

Catalog_Entries00000000012PackedCatalogItem

Value: Type: REG_BINARY Length: 888 (0x378) bytes

%SystemRoot%system32mswsock.dll

恢复下列为旧值 :

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesWinSock2ParametersProtocol_Catalog9

Catalog_Entries00000000001PackedCatalogItem

New: Type: REG_BINARY Length: 888 (0x378) bytes

%WINDOWSSystem32j7viewer.dll.

Old: Type: REG_BINARY Length: 888 (0x378) bytes

%SystemRoot%system32mswsock.dll.

(3) 删除病毒释放文件：

%WinDir% tl32v20.dll

%WinDir%svchost.exe

%System32% tj7viewer.dll

• ·Email-Worm.Win32.Bronto
• ·窥探者变种C(Worm.Randex.C)
• ·Worm.Win32.VB.gr
• ·Worm.Win32.Rabbit.a
• ·胡宏淮
• ·袁清夷
• ·萨玛哈
• ·Email-Worm.Win32.Bronto
• ·纸人笔记
• ·郝升