病毒名称: Trojan-PSW.Win32.Delf.qc
病毒类型: 木马
文件 MD5: CAA66210E00A4C5A78A73A9588671671
公开范围: 完全公开
危害等级: 3
文件长度: 22,964 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
命名对照: BitDefender [ Generic.PWStealer.855706A3 ]
病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件到系统目录下,连接网络,下载病毒文件到本地运行,修改注册表,添加启动项,以达到随机启动的目的,该木马下载的病毒均为盗取网络游戏及 QQ 的账号与密码的木马。通过 HOOK 系统函数,隐藏病毒进程。
行为分析:
1 、病毒运行后衍生病毒文件:
%Temp%c0nime.exe
%Temp%Gjzo0.dll
%Temp%iexpl0re.exe
%Temp%LgSy0.dll
%Temp%qq.exe
%Temp%upxdnd.dll
%Temp%zt.exe
%Program Files%Common FilesMicrosoft SharedMSInfoNewInfo.bmp
%Program Files%Common FilesMicrosoft SharedMSInfosystem.2dt
%Program Files%Internet ExplorerPLUGINSsystem2.jmp
%Program Files%Internet ExplorerPLUGINSSystem64.sys
%WINDIR%cmdbcs.exe
%WINDIR%mppds.exe
%WINDIR%mscct.exe
%system32%cmdbcs.dll
%system32%drivers
pf.sys
%system32%fpsini.dll
%system32%gdipri.dll
%system32%mppds.dll
%system32%mscct.dll
%system32%Packet.dll
%system32%systemm.exe
%system32%WanPacket.dll
%system32%wpcap.dll
2 、修改注册表:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "c15vri220"="%Temp%c0nime.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "dvzmsw"="%Temp%iexpl0re.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "cmdbcs"="%WINDIR%cmdbcs.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "mppds"="%WINDIR%mppds.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "mscct "="%WINDIR%mscct.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "nwizqjsj"="%system32%
wizqjsj.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "upxdnd"="C:DOCUME~1COMMAN~1LOCALS~1Tempzt.exe"
HKEY_CURRENT_USERSoftwareTencentHook2
键值 : 字串 : "First"="wk"
HKEY_CURRENT_USERSoftwareTencentIeHook
键值 : 字串 : "First"="kk"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }InprocServer32@
键值 : 字串 :"%system32%gdipri.dll"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{ 754FB7D8-B8FE-4810-B363-A788CD060F1F }InProcServer32@
键值 : 字串 :"%Program Files%Internet ExplorerPLUGINSSystem64.sys"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerShellExecuteHooks{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }
键值 : 字串 :"gdipri.dll"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNPFImagePath
键值 : 字串 :"system32drivers
pf.sys"
3 、病毒以下文件插入系统正常进程 explorer.exe 中:
%Temp%Gjzo0.dll
%Temp%iexpl0re.exe
%Temp%upxdnd.dll
%system32%cmdbcs.dll
%system32%mppds.dll
%system32%mscct.dll
%Program Files%Common FilesMicrosoft SharedMSInfoNewInfo.bmp
%Program Files%Internet ExplorerPLUGINSSystem64.sys
4 、通过 HOOK 系统函数,隐藏病毒进程。
5 、连接网络、下载病毒文件:
下载地址: M*.p*ga*e*.com/0/mh.exe
域名: M*.p*ga*e*.com
IP 地址: 5*.2*8.2*2.1*3
物理地址:江苏省徐州市
6 、该病毒下载大量盗号类木马到本机运行,可以盗取用户网络游戏及 QQ 等的账号与密码。
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 , windows95/98/me 中默认的安装路径是 C:WindowsSystem , windowsXP 中默认的安装路径是 C:WindowsSystem32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线断开网络,结束病毒进程:
explorer.exe
(2) 删除病毒文件:
%Temp%c0nime.exe
%Temp%Gjzo0.dll
%Temp%iexpl0re.exe
%Temp%LgSy0.dll
%Temp%qq.exe
%Temp%upxdnd.dll
%Temp%zt.exe
%Program Files%Common FilesMicrosoft
SharedMSInfoNewInfo.bmp
%Program Files%Common FilesMicrosoft
SharedMSInfosystem.2dt
%Program Files%Internet ExplorerPLUGINSsystem2.jmp
%Program Files%Internet ExplorerPLUGINSSystem64.sys
%WINDIR%cmdbcs.exe
%WINDIR%mppds.exe
%WINDIR%mscct.exe
%system32%cmdbcs.dll
%system32%drivers
pf.sys
%system32%fpsini.dll
%system32%gdipri.dll
%system32%mppds.dll
%system32%mscct.dll
%system32%Packet.dll
%system32%systemm.exe
%system32%WanPacket.dll
%system32%wpcap.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
键值 : 字串 : "c15vri220"="%Temp%c0nime.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
键值 : 字串 : "dvzmsw"="%Temp%iexpl0re.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
键值 : 字串 : "cmdbcs"="%WINDIR%cmdbcs.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
键值 : 字串 : "mppds"="%WINDIR%mppds.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
键值 : 字串 : "mscct "="%WINDIR%mscct.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
键值 : 字串 : "nwizqjsj"="%system32%
wizqjsj.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
键值 : 字串 : "upxdnd"="C:DOCUME~1COMMAN~1
LOCALS~1Tempzt.exe"
HKEY_CURRENT_USERSoftwareTencentHook2
键值 : 字串 : "First"="wk"
HKEY_CURRENT_USERSoftwareTencentIeHook
键值 : 字串 : "First"="kk"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }InprocServer32@
键值 : 字串 :"%system32%gdipri.dll"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{ 754FB7D8-B8FE-4810-B363-A788CD060F1F }InProcServer32@
键值 : 字串 :"%Program Files%Internet
ExplorerPLUGINSSystem64.sys"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionExplorerShellExecuteHooks
{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }
键值 : 字串 :"gdipri.dll"
HKEY_LOCAL_MACHINESYSTEMControlSet001Services
NPFImagePath
键值 : 字串 :"system32drivers
pf.sys"
