Backdoor.Win32.Delf.auu分析
时间:09-06
来源:IT专家网
点击:
一、病毒标签:
病毒名称: Backdoor.Win32.Delf.auu
病毒类型: 后门类
文件 MD5: 129410A4BC445D7A6432CB0EDB2E0BD2
公开范围: 完全公开
危害等级: 4
文件长度: 697,344 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub
二、病毒描述:
该病毒为后门类,病毒运行后复制自身到系统目录,衍生病毒文件。为了能够顺利连接网络,不受拦截,把病毒文件添加到Windows防火墙默认放行列表中。连接网络下载病毒更新文件。该病毒还可连接远程控制端主机,等待受控。
三、行为分析:
本地行为:
1、 文件运行后会释放以下文件
%System32%visAddst32.dat 94
%System32%vispe64.dll 94,208
%System32%vispe64.ldb 64
%System32%wbemmsll32.dll 841 字节
%System32%wbemSACH0ST.exe 697,344 字节
2、 新增注册表键值,把病毒文件添加到Windows防火墙默认放行列表:
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListC:WINDOWSsystem32wbemSACH0ST.exe
键值: 字符串: "C:WINDOWSsystem32wbemSACH0ST.exe:*:Enabled:Generic Hosts for WinService"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListC:WINDOWSsystem32wbemSACH0ST.exe
键值: 字符串: "C:WINDOWSsystem32wbemSACH0ST.exe:*:Enabled:Generic Hosts for WinService"
3、该病毒的启动方式在行为中没有表现出来,判断该病毒是"木马群"中的一部分,通过"木马群"中的其它病毒体启动。"木马群"是通过协同工作能够完成一个或多个病毒功能的多个病毒组合。
网络行为:
1、连接网络下载病毒文件:
连接网络:
update3.china9k.cn(59.39.59.102:80)
下载病毒文件并自动运行:
eventrep.txt
setupurl.txt
运行后释放到%System32%目录下并重命名为:
%System32%eventrep.dll
%System32%mop32.dll
2、 该病毒为后门程序的受控端,具有自动寻找控制端的功能,一旦连接成功后,用户电脑将会受到控制端远程控制。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%当前用户Local SettingsTemp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:WinntSystem32;
Windows95/98/Me中默认的安装路径是 C:WindowsSystem;
WindowsXP中默认的安装路径是 C:WindowsSystem32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的"进程管理"关闭病毒进程SACH0ST.exe
(2) 强行删除病毒文件
%System32%visAddst32.dat
%System32%vispe64.dll
%System32%vispe64.ldb
%System32%wbemmsll32.dll
%System32%wbemSACH0ST.exe
%System32%eventrep.dll
%System32%mop32.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListC:WINDOWSsystem32wbemSACH0ST.exe
键值: 字符串: "C:WINDOWSsystem32wbemSACH0ST.exe:*:Enabled:Generic Hosts for WinService"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListC:WINDOWSsystem32wbemSACH0ST.exe
键值: 字符串: "C:WINDOWSsystem32wbemSACH0ST.exe:*:Enabled:Generic Hosts for WinService"
病毒名称: Backdoor.Win32.Delf.auu
病毒类型: 后门类
文件 MD5: 129410A4BC445D7A6432CB0EDB2E0BD2
公开范围: 完全公开
危害等级: 4
文件长度: 697,344 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub
二、病毒描述:
该病毒为后门类,病毒运行后复制自身到系统目录,衍生病毒文件。为了能够顺利连接网络,不受拦截,把病毒文件添加到Windows防火墙默认放行列表中。连接网络下载病毒更新文件。该病毒还可连接远程控制端主机,等待受控。
三、行为分析:
本地行为:
1、 文件运行后会释放以下文件
%System32%visAddst32.dat 94
%System32%vispe64.dll 94,208
%System32%vispe64.ldb 64
%System32%wbemmsll32.dll 841 字节
%System32%wbemSACH0ST.exe 697,344 字节
2、 新增注册表键值,把病毒文件添加到Windows防火墙默认放行列表:
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListC:WINDOWSsystem32wbemSACH0ST.exe
键值: 字符串: "C:WINDOWSsystem32wbemSACH0ST.exe:*:Enabled:Generic Hosts for WinService"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListC:WINDOWSsystem32wbemSACH0ST.exe
键值: 字符串: "C:WINDOWSsystem32wbemSACH0ST.exe:*:Enabled:Generic Hosts for WinService"
3、该病毒的启动方式在行为中没有表现出来,判断该病毒是"木马群"中的一部分,通过"木马群"中的其它病毒体启动。"木马群"是通过协同工作能够完成一个或多个病毒功能的多个病毒组合。
网络行为:
1、连接网络下载病毒文件:
连接网络:
update3.china9k.cn(59.39.59.102:80)
下载病毒文件并自动运行:
eventrep.txt
setupurl.txt
运行后释放到%System32%目录下并重命名为:
%System32%eventrep.dll
%System32%mop32.dll
2、 该病毒为后门程序的受控端,具有自动寻找控制端的功能,一旦连接成功后,用户电脑将会受到控制端远程控制。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%当前用户Local SettingsTemp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:WinntSystem32;
Windows95/98/Me中默认的安装路径是 C:WindowsSystem;
WindowsXP中默认的安装路径是 C:WindowsSystem32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的"进程管理"关闭病毒进程SACH0ST.exe
(2) 强行删除病毒文件
%System32%visAddst32.dat
%System32%vispe64.dll
%System32%vispe64.ldb
%System32%wbemmsll32.dll
%System32%wbemSACH0ST.exe
%System32%eventrep.dll
%System32%mop32.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListC:WINDOWSsystem32wbemSACH0ST.exe
键值: 字符串: "C:WINDOWSsystem32wbemSACH0ST.exe:*:Enabled:Generic Hosts for WinService"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListC:WINDOWSsystem32wbemSACH0ST.exe
键值: 字符串: "C:WINDOWSsystem32wbemSACH0ST.exe:*:Enabled:Generic Hosts for WinService"
- ESET NOD32安全套装全新亮相(04-17)
- "熊猫烧香"刚走 "电眼间谍"新病毒现身网络(01-05)
- Secure Computing喜获两项类别大奖(01-15)
- 我从未后悔改变世界(02-08)
- 灰鸽子病毒战又打响 专家建议网民无需恐慌(02-20)
- 病毒预警 马威尔和腕儿波变种(03-02)