在中毒电脑上提取的internat病毒

九尾野狐

好久没有写病毒解决方案了……放假一直在家里，就想着下载电影看了@_@

昨天刚回学校机房，旁边一电脑上就已经中毒不浅了，瑞星杀毒给关闭and破坏了，就留了个瑞星防火墙还在孤军奋战。帮着杀毒的时候顺便把病毒弄了个备份出来。

不过由于下载的其他病毒太多……一直米杀干净……于是直接帮着给GHOST重装了。



病毒名称：Worm.Win32.Delf.bg（Kaspersky）
                 Backdoor.Win32.Delf.awy（Kaspersky）
病毒大小：362,496 字节（30,001 字节）
加壳方式：PE_Patch.UPX UPX
样本MD5：b3698f72f49a98de8a3817bf363237ba   internat.exe
                  6467919ffdbeaf74b2414183d9915600   inetinf.exe
病毒行为：弹出恶意网页、感染exe文件，可通过移动存储设备传播
病毒样本下载：（密码：virus）  





分析
==========


病毒运行后释放自身副本到系统system目录：
%Windows%\system\internat.exe


在各分区目录创建：
X:\setup.exe
X:\autorun.inf

autorun.inf内容：
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe


感染文件运行后释放病毒到C盘根目录并运行：
C:\_.de


尝试访问网络下载其它病毒或恶意程序，保存到以下位置并运行：
%Windows%\system\SYSTEM32.vxd
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe


病毒内发现有如下信息：
MYGOD
this is the Rav get all path administrators
.....................卡巴 我恨你...............



清除步骤
==========
结合IceSword、KillBox等工具

1. 结束病毒进程：
%Windows%\system\internat.exe

2. 删除病毒文件：
%Windows%\system\internat.exe

3. 进入分区根目录，删除病毒文件：
X:\setup.exe
X:\autorun.inf

4. 删除C盘根目录下的病毒文件（可能存在）：
C:\_.de

5. 删除病毒下载的其它病毒或恶意程序（可能存在）：
%Windows%\system\SYSTEM32.vxd
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe

6. 使用反病毒软件进行全盘扫描，清除被感染的exe文件

[ 本帖最后由 没注册 于 2007-3-9 10:10 编辑 ]

欠妳緈諨

红伞过

jimmyleo

2007-3-9,10:17:12 [WARNING] Is the Trojan horse TR/Delf.AQ.1.B!
  D:\Download\Unknown\internat\inetinf.exe

2007-3-9,10:17:12 [WARNING] Contains signature of the worm WORM/Delf.BG.3!
  D:\Download\Unknown\internat\internat.exe


LS哪里过了

allenhippo

norton:

欠妳緈諨

我疏忽了,没注意压缩包有密码直接用右键扫描压缩包 ,解压后红伞杀

Paxson

杀

nicolashuang

咖啡企业版：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\INTERNAT\INTERNAT.EXE        W32/QQPass.worm ()
C:\Documents and Settings\Administrator\桌面\internat\internat.exe\GenUnp        W32/QQPass.worm ()

gbwyy

费尔杀了

jlennon

解压时企业咖啡发现一个，AVK杀了遗漏的另一个
==============================================
Virus check with AntiVirusKit
Version 16.0.7
Virus signatures of 2007-3-6
Start time: 2007-3-9 12:06
Engine(s): KAV engine (AVK 17.3103), BD-Engine (BD 17.2113)
Heuristic: On
Archives: On
System areas: On
Check system areas...
Check selected directories and files...
Object: inetinf.exe
Path: C:\Documents and Settings\Administrator\桌面\internat
Status: Move file into quarantine
Virus: Backdoor.Win32.Delf.awy (KAV engine), Dropped:Trojan.Spy.Pcapbased.A (BD-Engine)
Analysis complete: 2007-3-9 12:06
    1 files checked
    1 infected files detected
    0 suspected files detected

jimmyleo

还有LZ 这是你分析的？。。


http://www.cisrt.net/bbs/viewthr ... &extra=page%3D1