病毒名称
Trojan-Downloader.Win32.Delf.iwi
捕获时间
2008-02-14
病毒症状
该程序是使用Delphi编写的木马程序,采用UPX加壳试图躲避特征码扫描,加壳后长度21,504字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
病毒分析
该样本被执行后,将驱动文件“~46.tmp”(46是一个随机值)释放到%Temp%目录下,调用SCM写注册表将~46.tmp注册成名为sys_flt的windows内核服务,并通过相关API启动;服务启动后创建磁盘设备“\Device\yyy2”,创建目录对象“\Device\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄;拷贝自身到开始->附件->启动组中,打开设备“\Device\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘,利用CopyFileA函数将“%Temp%\~46.tmp”及启动组中的病毒文件拷贝到“\\.\yyy2”中,以达到突破还原卡的目的;在“%SystemRoot%\System32\”下释放批处理文件Deletedll.bat,执行后删除“%Temp%\~46.tmp”和Deletedll.bat;病毒调用API函数URLDownloadToFileA从网络上下载各种病毒到系统磁盘根目录下并执行。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马,文件捆绑
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Trojan-Downloader.Win32.Delf.iwi”,请直接选择删除(如图2)。
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
技术细节
Deletedll.bat文件内容为:
:try
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~46.tmp"
if exist "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~46.tmp" goto try
del %0
病毒新建的注册表项:
项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sys_flt
键值:Start(服务启动方式)
数值数据:00000002
键值:ImagePath(服务映像路径)
数值数据:%Temp%\~46.tmp
键值:DisplayName(服务显示名称)
数值数据:sys_flt
键值:ObjectName(服务对象名称)
数值数据:LocalSystem
病毒下载木马的地址:
http://www.***168.cn/gaga/1.exe
http://www.***168.cn/gaga/2.exe
http://www.***168.cn/gaga/3.exe
http://www.********3.com/test/logonsvc.exe
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!
[ 本帖最后由 Nblock 于 2008-2-15 14:13 编辑 ] | 
楼主: byxxdrls
发表于 2008-2-15 14:12:10
楼主