MySetup.exe(Trojan-Downloader.Win32.Delf.b)
样本来至卡饭```
文件名称:MySetup.exe
文件大小:19625 byte
AV命名: Trojan-Downloader.Win32.Delf.b(卡吧)
依赖平台:Windows(9X以上系统)
加壳方式:FSG 2.0+Morphine 1.2 - 1.3
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:Downloader
文件MD5:201b62807656299cd99d6f07f4c3d93b
文件SHA1 : da39a3ee5e6b4b0d3255bfef95601890afd80709
危害等级:★ ☆
传播方式:U盘等移动介质、网络。
行为分析:
1、释放病毒文件:
%Systemroot%\system32\MySetup.exe 19625 字节
%Systemroot%\system32\SoftDLL.dll 29184 字节
%Systemroot%\system32\SoftVersion.ini 488 字节
2、SoftDLL.dll 检测进程Explorer进程并注入。
3、SoftDLL.dll遍历磁盘,C-Z盘下生成:Autorun.inf和MySetup.exe
Autorun.inf内容:
OPEN=MySetup.exe
shell\open=打开(&O)
shell\open\Command=MySetup.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=MySetup.exe
shell\open=打开(&O)
shell\open\Command=MySetup.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=MySetup.exe
并监视移动盘介入,尝试在其跟目录生成病毒附本。
4、删除文件:
%Systemroot%\system32\verclsid.exe 21264 字节
5、写注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
指向SoftDLL.dll(开机注入Explorer进程。)
禁止自动更新:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WindowsUpdate
注册表键 AU
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions
AUOptions = REG_DWORD, 1
AUOptions = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
NoAutoUpdate = REG_DWORD, 1
NoAutoUpdate = REG_DWORD, 1
禁用系统自带防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallPolicy
注册表键 StandardProfile
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\StandardProfile
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
注册表值 EnableFirewall = REG_DWORD, 0
注册表值 EnableFirewall = REG_DWORD, 0
(2K系统不受影响) o(∩_∩)o
6、修改注册表
破坏显示隐藏文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
CheckedValue
CheckedValue
REG_DWORD, 1 修改为 REG_SZ, "0 "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
REG_SZ, "SoftDLL.dll "
REG_SZ, "SoftDLL.dll "
借助AppInit_DLLs开机注入。
7、随后读取SoftVersion.ini列表(自带87位算法校验)反弹连接38.100.19.*** 尝试下载木马,不过未实现。
(不给连接了``要样本自己按图上地址打吧``=。=)
解决方法:
[url]http://gudugengkekao.ys168.com/[/url]下载:
冰刃.rar 2,110KB
sreng2.5.zip 780KB
下载到桌面,关闭不需要的进程。。。
1、打开冰刃,设置―禁止进线程创建―确定。
2、利用冰刃“文件”功能,删除:
%Systemroot%\system32\MySetup.exe 19625 字节
%Systemroot%\system32\SoftDLL.dll 29184 字节
%Systemroot%\system32\SoftVersion.ini 488 字节(这个没找到的话忽略)
每个分区下(C-Z)的Autorun.inf和MySetup.exe
3、利用冰刃“注册表”功能,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\下的
AU整个键
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy下的
StandardProfile整个键
(注意看清楚,不要删除错了!)
4、设置冰刃,重启并监视。
5、重启后打开SREng,删除:
注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A781A1EC-975E-4718-AF5E-A3F552D55C41}><C:\winnt\system32\SoftDLL.dll> []
<{A781A1EC-975E-4718-AF5E-A3F552D55C41}这个可能不一样
