分析与解决木马Trojan.Win32.Delf.dal
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.Delf.dal
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:39,181 字节
SHA1 : EDEB41444AE3921FCC3AF1E0D8952855CAE65FBD
加壳类型:FSG
开发工具:Borland Delphi
病毒行为:
1、病毒运行以后释放文件:
%SystemDrive%\autorun.inf
%SystemDrive%\zhangxin.exe
%DriveLetter%\autorun.inf
%DriveLetter%\ zhangxin.exe
%system%\ zhangxin.exe
2、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360hotfix.exe、360rpt.exe、360Safe.exe、360safebox.exe、360tray.exe、adam.exe、
AgentSvr.exe、AntiArp.exe、AppSvc32.exe、arvmon.exe、AutoGuarder.exe、autoruns.exe
avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、
FileDsty.exe、findt2005.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、
iparmo.exe、Iparmor.exe、IsHelp.exe、isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、
KASMain.exe 、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、
KAVSetup.exe、KAVStart.exe、killhidepid.exe、KISLnchr.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、kvfw.exe、KvfwMcl.exe、
KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、
KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、loaddll.exe、MagicSet.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、NAVSetup.exe、nod32krn.exe、nod32kui.exe、
PFW.exe、PFWLiveUpdate.exe、QHSET.exe、Ras.exe、Rav.exe、RavCopy.exe、
RavMon.exe、RavMonD.exe、RavStore.exe、RavStub.exe、ravt08.exe、RavTask.exe、
RegClean.exe、rfwcfg.exe、rfwmain.exe、rfwolusr.exe、rfwProxy.exe、rfwsrv.exe
RsAgent.exe、Rsaupd.exe、runiep.exe、safebank.exe、safeboxTray.exe、safelive.exe、
scan32.exe、shcfg32.exe、smartassistant.exe、SmartUp.exe、SREng.EXE、SREngPS.exe、
symlcsvc.exe、syscheck.exe、Syscheck2.exe、SysSafe.exe、ToolsUp.exe、
TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、
UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、WoptiClean.exe、zxsweep.exe、修复工具.exe
3、添加注册表自启动项,使病毒在启动计算机后能自启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ZhangXin"
Type: REG_SZ
Data: C:\WINDOWS\system32\ zhangxin.exe
4、删除安全模式相关注册表键值,导致用户无法正常进入安全模式:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
5、添加注册表相关键值,屏蔽任务管理器和Windows更新:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableWindowsUpdateAccess"
Type: REG_DWORD
Data: 01, 00, 00, 00
6、用病毒衍生的beep.sys替换%system%\drivers下的beep.sys,并在文件系统保护还原beep.sys之前加载该驱动,病毒驱动文件的作用是将主动防
御挂好的SSDT钩子摘掉,是杀毒软件主动防御失效
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、删除病毒生成的文件。
%SystemDrive%\autorun.inf
%SystemDrive%\zhangxin.exe
%DriveLetter%\autorun.inf
%DriveLetter%\ zhangxin.exe
%system%\ zhangxin.exe
2、删除病毒的启动项。打开超级巡警,选择启动管理,删除名为" ZhangXin "的启动项。
3、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动/映象劫持,修复即可。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、禁用不必要的服务。
3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
4、不要随意下载不安全网站的文件并运行。
5、下载和新拷贝的文件要首先进行查毒。
6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS 系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
超级巡警:彻底查杀各种木马,全面保护系统安全。
