Worm.Delf.dy

一个捆绑型的病毒,还能下木马```
 
样本来至剑盟````有点意思,破例开了双HIPS跟踪``
 
今天的卡吧、AVG、BitDefender、NOD32等都没有报``
 
瑞星报的是: Worm.Delf.dy
 

Aditional Information
 
File size: 20000 bytes
MD5: 3087e68819f9521b7f8be1a17734c3fe
SHA1: 82b39340a3da0bdde544f0f5e6b9df81e71797a2
CRC32    : 1C5A03D
RIPEMD160: 397194446721BA5D7DD6A79CC2ADDC5690D9E49F
Tiger_192: 4C55317A0FEEA4579665AE892B112E57972671985F50ABAC
SHA160   : 82B39340A3DA0BDDE544F0F5E6B9DF81E71797A2
packers: Upack 0.3.9 beta2s
Languages:Borland Delphi 6.0-7.0
 
 
运行,释放:

C:\WINNT\system\internat.exe  20000 字节
C:\WINNT\system\SYSTEM32.vxd  855 字节
1_.ii 20000 字节
 
  1、internat.exe常驻进程,调用CMD的Dir命令,遍历分区搜索EXE可执行文件,保存列表至:%Windir%\win.log
 
并修改所有运行中的程序的内存空间(便于用来后来捆绑)
 
  2、按win.log里列表的"黑名单"进行捆绑,跳过系统盘、System Volume Information、Recycled文件夹和下列文件名:
 
CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe
zhengtu.exe xenettools.exe laizi.exe proxy.exe Launcher.exe WoW.exe             Repair.exeBackgroundDownloader.exe eo2_unins_web.exe O2Jam.exe O2JamPatchClient.exe
O2ManiaDriverSelect.exe OTwo.exe sTwo.exe GAME2.EXE GAME3.EXE Game4.exe game.exe hypwise.exe Roadrash.exe O2Mania.exe Lobby_Setup.exe eCoralQQ.exe QQ.exe QQexternal.exe BugReport.exe tm.exe  ra2.exe ra3.exe ra4.exeexedzh.exe Findbug.EXE fb3.exe Meteor.exe mir.exe
KartRider.exe NMService.exeztconfig.exe patchupdate.exe

 
貌似都是网游、QQ等进程,给下载木马盗号埋下伏笔.....
 
  3、接下来从D盘开始进行捆绑感染,被捆绑的文件增加21034字节。用WinHex对比了下,原来是把病毒代码捆绑到文件尾部,并修改了PE头,优先执行捆绑尾部的代码,后执行程序。(原程序运行无影响)。
 
  4、另一个线程,参数是/update,连接222.220.16.186(TCP)下载16个木马,都是盗号木马(隔段时间重新连接)
 
被捆绑后文件,运行后首先执行1_.ii,后在同目录下生成个批处理,内容为:
 
:try
del "%病毒路径%\1_.ii"
if exist "%病毒路径%" goto try
del %0
 
也就是执行捆绑尾部的病毒后删除自身
 
那么每次运行被感染的程序其实就是重新激活病毒,重头做上面那些,并遍历分区生成
 
Autorun.inf和Steup.exe
 
Autorun.inf内容:
 
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
 
达到双击分区激活病毒的效果,并支持U盘等移动介质传播。
 
  没有特别好的解决方法,因为每个被“感染”的文件都等于是病毒,只要不小心运行感染的文件后,之前做的一切将都是徒劳的。
 
 
最大限度遏制方法:
 
[url]http://free.ys168.com/?gudugengkekao1[/url]下载:
 
PowerRmv.com 101KB
 
SREng.rar 597KB
 
打开PowerRmv, 选上抑制对象再次生成,填入(一次一个,找不到的忽略):
 
C:\Windows\Win.log
C:\Windows\system32\upxdnd.dll
C:\Windows\system32\msdebug.dll
C:\Windows\system32\windhcp.ocx
C:\Windows\system32\nwizdh.exe
C:\Windows\system32\msccrt.dll
C:\Windows\system32\RemoteDbg.dll
C:\Windows\system32\WinForm.dll
C:\Windows\system32\AVPSrv.dll
C:\Windows\system32\Kvsc3.dll
C:\Windows\system\internat.exe
C:\Windows\system\1.exe
C:\Windows\system\2.exe
C:\Windows\system\5.exe
C:\Windows\system\6.exe
C:\Windows\system\7.exe
C:\Windows\system\8.exe
C:\Windows\system\9.exe
C:\Windows\system\10.exe
C:\Windows\system\14.exe
C:\Windows\system\SYSTEM32.vxd
C:\Windows\upxdnd.exe
C:\Windows\msccrt.exe
C:\Windows\WinForm.exe
C:\Windows\AVPSrv.exe
C:\Windows\Kvsc3.exe
C:\autorun.inf
C:\setup.exe
D:\autorun.inf
D:\setup.exe
E:\autorun.inf
E:\setup.exe
F:\autorun.inf
F:\setup.exe
*:\autorun.inf
*:\setup.exe
 
*为移动介质盘符。
 
打开SREng删除:
 
注册表
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <k55d7c><C:\DOCUME~1\admin\LOCALS~1\Temp\iexplorer.exe>  []
    <13e2><C:\DOCUME~1\admin\LOCALS~1\Temp\c0nime.exe>  []
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <WinForm><C:\winnt\WinForm.exe>  []
    <upxdnd><C:\winnt\upxdnd.exe>  []
    <msccrt><C:\winnt\msccrt.exe>  []
    <AVPSrv><C:\winnt\AVPSrv.exe>  []
    <Kvsc3><C:\winnt\Kvsc3.exe>  []
 
服务
 
[WIKLD / WIKLD][Stopped/Manual Start]
  <C:\DOCUME~1\admin\LOCALS~1\Temp\WIKLD.exe><N/A>
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
  <C:\winnt\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
  <C:\winnt\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
 
记得修改QQ、邮箱等密码。。。。
 
然后把病毒文件上报杀软,等识别吧`````
 
如果有兴趣的,可以用WinHex删除捆绑的数据,我成功了几个,不过蛮累的,不推荐....
 
一些图:
 








图片点击可在新窗口打开查看


图片点击可在新窗口打开查看


图片点击可在新窗口打开查看

 

图片点击可在新窗口打开查看


图片点击可在新窗口打开查看





图片点击可在新窗口打开查看
 
 

你可能感兴趣的:(职场,休闲,Worm.Delf.dy,1_.ii,Setup.exe)