安裝Windows Server 2008 Beta 3後電腦中得第一個病毒.Backdoor.Win32.Delf.auu

Backdoor.Win32.Delf.auu分析

Backdoor.Win32.Delf.auu分析

作者: 安天實驗室, 　出處:IT專家網,　責任編輯: 張帥,

2007-10-05 08:00

　　該病毒運行後複製自身到系統目錄，衍生病毒文件。爲了能夠順利連接網絡，不受攔截，把病毒文件添加到Windows防火牆默認放行列表中,該病毒還可連接遠程控制端主機，等待受控……

　　一、病毒標籤：

　　病毒名稱： Backdoor.Win32.Delf.auu

　　病毒類型： 後門類

　　文件 MD5： 129410A4BC445D7A6432CB0EDB2E0BD2

　　公開範圍： 完全公開

　　危害等級： 4

　　文件長度： 697,344 字節

　　感染系統： Windows98以上版本

　　開發工具： Borland Delphi 6.0 - 7.0

　　加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub

　　二、病毒描述：

　　該病毒爲後門類，病毒運行後複製自身到系統目錄，衍生病毒文件。爲了能夠順利連接網絡，不受攔截，把病毒文件添加到Windows防火牆默認放行列表中。連接網絡下載病毒更新文件。該病毒還可連接遠程控制端主機，等待受控。

　　三、行爲分析：

　　本地行爲:

　　1、 文件運行後會釋放以下文件

　　%System32%/visAddst32.dat 94

　　%System32%/vispe64.dll 94,208

　　%System32%/vispe64.ldb 64

　　%System32%/wbem/msll32.dll 841 字節

　　%System32%/wbem/SACH0ST.exe 697,344 字節

　　2、 新增註冊表鍵值，把病毒文件添加到Windows防火牆默認放行列表：

　　HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe

　　鍵值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe

　　鍵值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"

　　3、該病毒的啓動方式在行爲中沒有表現出來，判斷該病毒是“木馬羣”中的一部分，通過“木馬羣”中的其它病毒體啓動。“木馬羣”是通過協同工作能夠完成一個或多個病毒功能的多個病毒組合。

　　網絡行爲:

　　1、連接網絡下載病毒文件：

　　連接網絡：

　　update3.china9k.cn(59.39.59.102:80)

　　下載病毒文件並自動運行：

　　eventrep.txt

　　setupurl.txt

　　運行後釋放到%System32%目錄下並重命名爲：

　　%System32%/eventrep.dll

　　%System32%/mop32.dll

　　2、 該病毒爲後門程序的受控端，具有自動尋找控制端的功能，一旦連接成功後，用戶電腦將會受到控制端遠程控制。

　　註釋：

　　%Windir% WINDODWS所在目錄

　　%DriveLetter% 邏輯驅動器根目錄

　　%ProgramFiles% 系統程序默認安裝目錄

　　%HomeDrive% 當前啓動系統所在分區

　　%Documents and Settings% 當前用戶文檔根目錄

　　%Temp% 當前用戶TEMP緩存變量;路徑爲：

　　%Documents and Settings%/當前用戶/Local Settings/Temp

　　%System32% 是一個可變路徑;

　　病毒通過查詢操作系統來決定當前System32文件夾的位置;

　　Windows2000/NT中默認的安裝路徑是　C:/Winnt/System32;

　　Windows95/98/Me中默認的安裝路徑是　C:/Windows/System;

　　WindowsXP中默認的安裝路徑是　C:/Windows/System32。

　　四、 清除方案：

　　1、使用安天木馬防線可徹底清除此病毒(推薦)，請到安天網站下載：www.antiy.com 。

　　2、手工清除請按照行爲分析刪除對應文件，恢複相關系統設置。推薦使用ATool(安天安全管理工具)，ATool下載地址: www.antiy.com或http://www.antiy.com/download/index.htm 。

　　(1) 使用安天木馬防線或ATool中的“進程管理”關閉病毒進程SACH0ST.exe

　　(2) 強行刪除病毒文件

　　%System32%/visAddst32.dat

　　%System32%/vispe64.dll

　　%System32%/vispe64.ldb

　　%System32%/wbem/msll32.dll

　　%System32%/wbem/SACH0ST.exe

　　%System32%/eventrep.dll

　　%System32%/mop32.dll

　　(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

　　HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe

　　鍵值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe

　　鍵值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"