找回密码
 注册创意安天

Worm/Win32.Delf.i[IRC]分析

[复制链接]
发表于 2009-6-24 14:46 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Worm/Win32.Delf.i[IRC]
病毒类型: 蠕虫
文件 MD5: B8AB049DB6127E5BB4468124A152BC90
公开范围: 完全公开
危害等级: 4
文件长度: 40,188 字节
感染系统: Windows98以上版本
加壳类型: Packman 0.0.0.1 -> Bubbasoft
开发工具: Borland Delphi 6.0 - 7.0

二、 病毒描述:
该恶意代码为蠕虫类,病毒运行后判断自身路径是否在磁盘驱动器根目录下,如是则获取当前窗口调用API函数打开该该目录下的文件并像该窗口发送消息,比较自身是否为“IEXPLORE.EXE”、“svchost.exe”进程,查找"#32770" 对话框,找到之后像窗口窗体发送WM_COMMAND消息,遍历进程查找大量安全软件进程找到之后强行结束其进程并将其进程添加到注册表映像劫持,查找AVP.EXE并修改本地时间为2000年10月31日,篡改IE默认主页、修改注册表破坏显示隐藏文件及安全模式,删除%System32%目录下的update.exe,拷贝自身到该目录下并命名为update.exe并将设置设置为隐藏,拷贝urlmon.dll命名为urlmon.gjj(该操作可以躲避安全软件主动防御),调用该库中的API函数连接网络下载文件保存到临时目录下,然后打开下载后的病毒文件,完后之后删除urlmon.gjj文件,暴力搜索ntoskrnl.exe的内核函数KeServiceDescriptorTable来恢复SSDT,试图在每个磁盘驱动器下释放autorun.inf文件,监视含有安全字眼的窗口找到后模拟点击,释放批处理用于删除病毒原体文件。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%system32%\update.exe

2、修改、添加注册表病毒启动项
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
新: 字符串: "http://www.yl177***.com.cn/article/sex/info-13356.html"
旧: 字符串: "http://www.baidu.com/"
描述:篡改IE主页

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:修改注册表破坏显示隐藏文件

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
删除注册表破坏安全模式

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的进程名\Debugger
值: 字符串: "C:\WINDOWS\system32\update.exe"
描述:添加注册表映射劫持大量安全进程

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DsNiu\InjectDown V3.0\PID1
值: 字符串: "284"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DsNiu\InjectDown V3.0\PID2
值: 字符串: "1964"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\update
值: 字符串: "C:\WINDOWS\system32\update.exe"
描述:添加病毒启动项

3、判断自身路径是否在磁盘驱动器根目录下,如是则获取当前窗口调用API函数打开该该目录下的文件并像该窗口发送消息,比较自身是否为“IEXPLORE.EXE”、“svchost.exe”进程,查找"#32770" 对话框,找到之后像窗口窗体发送WM_COMMAND消息,遍历进程查找大量安全软件进程找到之后强行结束其进程并将其进程添加到注册表映像劫持
遍历进程结束以下进程:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPFWSvc.exe、KRegEx.exe、KRepair.COM、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、loaddll.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、NAVSetup.exe、nod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwProxy.exe、rfwsrv.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、SREng.exe、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、WoptiClean.exe、zxsweep.exe、Syscheck2.exe、findt2005.exe、SREngPS.exe、smartassistant.exe、rfwolusr.exe、AutoGuarder.exe、arvmon.exe、ravt08.exe、killhidepid.exe、kvfw.exe、syscheck.exe、IsHelp.exe、RavStore.exe、ToolsUp.exe、RavCopy.exe、avp32.exe、avpmon.exe、zonealarm.exe、vshwin32.exe、vet95.exe、tbscan.exe、serv95.exe、Nspclean.exe、clrav.com、scan32.exe、rav7.exe、navw.exe、outpost.exe、nmain.exe、navnt.exe、mpftray.exe、lockdown2000.exe、icssuppnt.exe、icload95.exe、iamapp.exe、findviru.exe、f-agnt95.exe、dv95.exe、dv95_o.exe、claw95ct.exe、cfiaudit.exe、avwupd32.exe、avptc32.exe、_avp32.exe、avgctrl.exe、apvxdwin.exe、_avpcc.exe、avpcc.exe、wfindv32.exe、vsecomr.exe、tds2-nt.exe、sweep95.exe、EFINET32.EXE、scrscan.exe、safeweb.exe、persfw.exe、navsched.exe、nvc95.exe、nisum.exe、navlu32.exe、moolive.exe、jed.exe、icsupp95.exe、ibmavsp.exe、frw.exe、f-stopw.exe、espwatch.exe、procexp、filemon.exe、regmon.exe、dvp95.exe、cfiadmin.exe、avwin95.exe、avpm.exe、avp.exe、ave32.exe、anti-trojan.exe、webscan.exe、webscanx.exe、vsscan40.exe、tds2-98.exe、sphinx.exe、scanpm.exe、rescue.exe、pcfwallicon.exe、pavcl.exe、nupgrade.exe、navwnt.exe、navapw32.exe、luall.exe、iomon98.exe、icmoon.exe、fprot.exe、f-prot95.exe、esafe.exe、cleaner3.exe、IBMASN.EXE、blackice.exe、avsched32.exe、avpdos32.exe、avpnt.exe、avconsol.exe、ackwin32.exe、rapapp.exe、vsstat.exe、vettray.exe、tca.exe、smc.exe、scan95.exe、rav7win.exe、pccwin98.exe、KPFW32.EXE、ADVXDWIN、padmin.exe、normist.exe、navw32.exe、n32scan.exe、lookout.exe、iface.exe、icloadnt.exe、iamserv.exe、fp-win.exe、f-prot.exe、ecengine.exe、cleaner.exe、cfind.exe、blackd.exe、avpupd.exe、avkserv.exe、autodown.exe、avpm.exe、AvpM.exe、regedit.exe、msconfig.exe、FPROT95.EXE、sfc.exe、regedt32.exe、offguard.exe、pav.exe、pavmail.exe、per.exe、perd.exe、pertsk.exe、perupd.exe、pervac.exe、pervacd.exe、th.exe、th32.exe、th32upd.exe、thav.exe、thd.exe、thd32.exe、thmail.exe、alertsvc.exe、amon.exe、kpf.exe、antivir、avsynmgr.exe、cfinet.exe、cfinet32.exe、icmon.exe、lockdownadvanced.exe、lucomserver.exe、mcafee、navapsvc.exe、navrunr.exe、nisserv.exe、nsched32.exe、pcciomon.exe、pccmain.exe、pview95.exe、Avnt.exe、Claw95cf.exe、Dvp95_0.exe、Vscan40.exe、Icsuppnt.exe、Jedi.exe、N32scanw.exe、Pavsched.exe、Pavw.exe、Avrep32.exe、Monitor.exe、notstart.exe、zapro.exe、pqremove.com、CCAPP.EXE、vet98.exe、VET32.EXE、VCONTROL.EXE、claw95.exe、ZAP.EXE、ZAPD.EXE、ZAPPRG.EXE、ZAPS.EXE、ZCAP.EXE、pfwagent.exe、pfwcon.exe、zlclient.exefwagent.exe、pfwcon.exe、zlclient.exe

试图关闭以下服务:
ALOGSERV、AMON9X、AVGSERV9、AVGW、avkpop、avkservice、AvkServ、avkwctl9、AVXMONITOR9X、AVXMONITORNT、AVXQUAR、NWTOOL16、pccwin97、PROGRAMAUDITOR、POP3TRAP、PROCESSMONITOR、PORTMONITOR、POPROXY、pcscan、pcntmon、pavproxy、PADMIN、pview95、fsgk32、fsm32、fsma32、fsmb32、gbmenu、GBPOLL、GENERICS、GUARD、IAMSTATS、ISRV95、LDPROMENU、LDSCAN、LUSPT、MCMNHDLR、MCTOOL、MCUPDATE、MCVSRTE、MGHTML、MINILOG、MCVSSHLD、MCAGENT、MPFSERVICE、MWATCH、NeoWatchLog、NVSVC32、NWService、NTXconfig、NTVDM、ntrtscan、npssvc、npscheck、netutils、ndd32、NAVENGNAVEX15、SymProxySvc、SYMTRAY、TAUMON、TCM、TDS-3、TFAK、vbcmserv、VbCons、VIR-HELP、VPC32、VPTRAY、VSMAIN、vsmon、WIMMUN32、WGFE95、WEBTRAP、WATCHDOG、WrAdmin、AVXW、cfgWiz、CMGRDIAN、CONNECTIONMONITOR、CPDClnt、DEFWATCH、CTRL、defalert、defscangui、DOORS、EFPEADM、ETRUSTCIPE、EVPN、EXPERT、fameh32、fch32、fih32、BullGuard、ANTS、ATCON、ATUPDATER、ATWATCH、AutoTrace、AVGCC32、AvgServ、AVWINNT、fnrb32、fsaa、fsav32、SPYXX、SS3EDIT、SweepNet、RULAUNCH、sbserv、SWNETSUP、WrCtrl、REALMON、RTVSCN95

4、查找AVP.EXE并修改本地时间为2000年10月31日,篡改IE默认主页、修改注册表破坏显示隐藏文件及安全模式,拷贝urlmon.dll命名为urlmon.gjj(该操作可以躲避安全软件主动防御),调用该库中的API函数连接网络下载文件保存到临时目录下,然后打开下载后的病毒文件,完后之后删除urlmon.gjj文件,暴力搜索ntoskrnl.exe的内核函数KeServiceDescriptorTable来恢复SSDT,试图在每个磁盘驱动器下释放autorun.inf文件,监视含有以下字眼的窗口找到后模拟点击:
主动防御 警报———允许
主动防御 警告———应用到所有
主动防御 信息———跳过

网络行为:
协议:TCP
端口:80
连接服务器名:http://ilovefzl.ilovefzl***.com.cn/count/js/zhuye.txt
描述:连接读取的列表内容下载病毒文件:
http://cn.com.fengyunfz***.com.cn/count/js/update/cq.exe

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%              WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                      \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”结束病毒进程病毒进程
(2) 强行删除病毒衍生及下载的文件
%system32%\update.exe
(3)  删除病毒服务注册表项及修改的键值
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\Start Page
新: 字符串: http://www.yl177.com.cn/article/sex/info-13356.html
旧: 字符串: "http://www.baidu.com/"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
恢复注册表旧值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\被劫持的进程名
删除病毒添加的映射劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DsNiu\InjectDownV3.0\PID1
值: 字符串: "284"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DsNiu\InjectDownV3.0\PID2
值: 字符串: "1964"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\update
值: 字符串: "C:\WINDOWS\system32\update.exe"
删除病毒启动项
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-22 13:35

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表