盗号木马 Trojan-PSW.Win32.Delf.ftp
病毒名称 A5 c5 I* N+ L: m9 K
% O5 u9 ~: ^7 u9 a& d5 V4 S6 h
Trojan-PSW.Win32.Delf.ftp
3 f. F" y" i8 P5 s( o$ F0 q% ^8 y! {( W/ }" w+ h; H+ X
+ Q; T# e+ F# O; }/ ^& ]$ x) M, }
; W1 N# G) S/ L( F
病毒症状; ~& G6 Z* T# ~1 V* X4 f
' y1 _% L7 j- ^ C# |, q 该病毒是一个使用Delphi编写的木马程序,长度为10,328字节,图标为常规可执行文件图标,病毒扩展名为exe。
/ h* N2 S# G* N# Y/ T. `0 T
; |' d1 e. R1 |3 H6 c+ u9 f病毒分析
% P6 d6 x0 N# ~1 b
) _1 w( k: v3 s" Z& H: r$ h 该木马程序激活后,在system32目录下释放dhapri.dll文件,修改文件属性为隐藏和系统,并修改文件的创建时间和修改时间;每隔0.5秒病毒自动修改一次注册表项:将dhapri.dll注入到进程explorer.exe及其子进程中、关闭Windows更新、穿越Windows内置防火墙;通过全局钩子将dhapri.dll文件试图注入到各个进程中;通过钩子函数盗取大话西游的帐号和密码,并将窃取到的帐号密码通过网络收信空间发给黑客;使用批处理文件删除自身。
- A/ X" ]7 T! c- I+ f7 W- S7 k6 @# i+ E. w9 n/ }2 Z+ s% {
病毒添加和修改的注册项:
* b: `! z1 I. M" \7 ?1 a1 i4 g+ g+ A; z9 H1 R1 |4 i. k; l
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
3 K7 |, R# M; k, Q键值:{12311A42-AC1B-158F-FD32-5674345F23A1}. F9 x( |( e+ n3 X
指向文件:dhapri.dll- I3 \# h1 J o2 C( V
' b; V$ @& I+ W项:HKCR\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}\InProcServer32\
. d T. n; Q+ K( i3 N n! o" ^键值:(Default)
}+ `- c e8 _- i" E% K指向文件:dhapri.dll
" v# A4 o& f$ z' P: ~4 C2 u" l/ f
项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\/ W3 w8 C) g& v& m' N+ b2 h9 u
键值:AppInit_DLLs6 D6 B4 d5 c5 z/ H
指向文件:dhapri.dll: ]3 ?( M1 J- N" M9 o
f* s8 Q7 G5 U. U0 V- X0 w( ^7 o项:HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\, F& \& N) p) p9 L8 a* ^
键值:NoAutoUpdate
a1 m; W7 F! n/ ]7 m, q键值数值:1* g. y |, M( D4 P. `
键值:AUOptions/ @! d4 }9 [2 t1 O; {5 e! p
键值数值:1
# m" l$ Z5 n# W6 A* m- ~/ V4 b8 _ g; {3 r* j7 Y( E% P
项:HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\8 ]; X* W' D! h) y
键值:EnableFirewall
4 C2 V2 @. S. p( _键值数值:0- W& O2 m/ p2 @0 g
- Z: |+ N: }% z
感染对象
/ s. M" q9 A/ w# L7 P; o
% _" e, c- G, kWindows 98/Windows ME/Windows 2000/Windows XP/Windows 2003% U& ~' c* {* A0 N
2 q( p* O% h. g* J传播途径1 D: @ H; R! @
; b0 A" }' e+ y3 H* c5 o8 L网页挂马、文件捆绑
