康红
级别: 总版主
精华:
4
发帖: 24936
威望: 24995 点
金钱: 221037 RMB
贡献值: 0 点
注册时间:2007-05-12
最后登录:2009-01-09
|
Trojan.Win32.Delf.dal(Beep.sys)分析与解决方案
超级巡警团队捕获该样本后,对该样本进行了分析。该病毒运行后释放病毒副本到各个逻辑驱动器的根目录下,对安全软件进行映像劫持,使安全软件失效,删除安全模式,并卸载杀毒软件的主动防御,该病毒会严重干扰用户使用计算机。超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.Delf.dal
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:39,181 字节
SHA1 : EDEB41444AE3921FCC3AF1E0D8952855CAE65FBD
加壳类型:FSG
开发工具:Borland Delphi
病毒行为:
1、病毒运行以后释放文件:
%SystemDrive%autorun.inf
%SystemDrive%zhangxin.exe
%DriveLetter%autorun.inf
%DriveLetter% zhangxin.exe
%system% zhangxin.exe
2、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360hotfix.exe、360rpt.exe、360Safe.exe、360safebox.exe、360tray.exe、
adam.exe、AgentSvr.exe、AntiArp.exe、AppSvc32.exe、arvmon.exe、
AutoGuarder.exe、autoruns.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
avp.exe、CCenter.exe、ccSvcHst.exe、FileDsty.exe、findt2005.exe、
FTCleanerShell.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、
IsHelp.exe、isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe 、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、
KAVStart.exe、killhidepid.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、
KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、KRepair.com、
KsLoader.exe、KVCenter.kxp、KvDetect.exe、kvfw.exe、KvfwMcl.exe、
KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、
KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、loaddll.exe、
MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、NAVSetup.exe、
nod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、
Ras.exe、Rav.exe、RavCopy.exe、RavMon.exe、RavMonD.exe、RavStore.exe、
RavStub.exe、ravt08.exe、RavTask.exe、RegClean.exe、rfwcfg.exe、rfwmain.exe、
rfwolusr.exe、rfwProxy.exe、rfwsrv.exeRsAgent.exe、Rsaupd.exe、runiep.exe、
safebank.exe、safeboxTray.exe、safelive.exe、scan32.exe、shcfg32.exe、
smartassistant.exe、SmartUp.exe、SREng.EXE、SREngPS.exe、symlcsvc.exe、
syscheck.exe、Syscheck2.exe、SysSafe.exe、ToolsUp.exe、TrojanDetector.exe、
Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、WoptiClean.exe、
zxsweep.exe、修复工具.exe
3、添加注册表自启动项,使病毒在启动计算机后能自启动:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "ZhangXin"
Type: REG_SZ
Data: C:WINDOWSsystem32 zhangxin.exe
4、删除安全模式相关注册表键值,导致用户无法正常进入安全模式:
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
5、添加注册表相关键值,屏蔽任务管理器和Windows更新:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
"DisableTaskMgr"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
"DisableWindowsUpdateAccess"
Type: REG_DWORD
Data: 01, 00, 00, 00
6、用病毒衍生的beep.sys替换%system%drivers下的beep.sys,并在文件系统保护还原beep.sys之前加载该驱动,病毒驱动文件的作用是将主动防御挂好的SSDT钩子摘掉,是杀毒软件主动防御失效
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、删除病毒生成的文件。
%SystemDrive%autorun.inf
%SystemDrive%zhangxin.exe
%DriveLetter%autorun.inf
%DriveLetter% zhangxin.exe
%system% zhangxin.exe
2、删除病毒的启动项。打开超级巡警,选择启动管理,删除名为" ZhangXin "的启动项。
3、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动/映象劫持,修复即可。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、禁用不必要的服务。
3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
4、不要随意下载不安全网站的文件并运行。
5、下载和新拷贝的文件要首先进行查毒。
6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS 系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
|
|
|
[楼 主]
|
Posted: 2008-07-24 19:57 |
| |
勇华股票论坛 -> 〖电脑技术〗 -> Trojan.Win32.Delf.dal(Beep.sys)分析与解决方案
