文件: Trojan.exe
大小: 172794 字节
MD5: F338359A32FE59DCC97A51221219E6D2
SHA1: 5B8BAF15A0B78A2B86AA1E3737EBA4AD1CF3D495
CRC32: 3DBA9A9B
加壳类型: N/A
编写语言: Delphi
卡巴斯基:Trojan.Win32.Delf.ftn
金山毒霸:N/A
瑞星:N/A
简单行为分析:
为自身进程提升SeDebugPrivilege权限;
释放病毒副本:
%system32%\drivers\etc\0iOTBy57.dll
%system32%\sCgcUrIbj3.del
%system32%\sCgcUrIbj3.ini
遍历查询系统服务状态,安装加载服务:
HKLM\SYSTEM\CurrentControlSet\Services\SRAT_Service: "%system32%\svchost.exe -k netsvcs-->%SystemRoot%\system32\drivers\etc\0iOTBy57.dll";
文件0iOTBy57.dll设置全局挂勾,挂勾函数:
WH_GETMESSAGE(监控发送到消息队列的消息)
WH_CALLWNDPROC(监控信息·在系统发送它们到目标窗口程序前);
手工清理:
下载冰刃;
全局卸载模块"%system32%\drivers\etc\0iOTBy57.dll";
删除文件:
%system32%\drivers\etc\0iOTBy57.dll
%system32%\sCgcUrIbj3.del
%system32%\sCgcUrIbj3.ini
删除服务:
HKLM\SYSTEM\CurrentControlSet\Services\SRAT_Service;
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; MAXTHON 2.0)
