Backdoor.Win32.Delf.auu分析
Backdoor.Win32.Delf.auu分析
該病毒運行後複製自身到系統目錄,衍生病毒文件。爲了能夠順利連接網絡,不受攔截,把病毒文件添加到Windows防火牆默認放行列表中,該病毒還可連接遠程控制端主機,等待受控……
一、病毒標籤:
病毒名稱: Backdoor.Win32.Delf.auu
病毒類型: 後門類
文件 MD5: 129410A4BC445D7A6432CB0EDB2E0BD2
公開範圍: 完全公開
危害等級: 4
文件長度: 697,344 字節
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub
二、病毒描述:
該病毒爲後門類,病毒運行後複製自身到系統目錄,衍生病毒文件。爲了能夠順利連接網絡,不受攔截,把病毒文件添加到Windows防火牆默認放行列表中。連接網絡下載病毒更新文件。該病毒還可連接遠程控制端主機,等待受控。
三、行爲分析:
本地行爲:
1、 文件運行後會釋放以下文件
%System32%/visAddst32.dat 94
%System32%/vispe64.dll 94,208
%System32%/vispe64.ldb 64
%System32%/wbem/msll32.dll 841 字節
%System32%/wbem/SACH0ST.exe 697,344 字節
2、 新增註冊表鍵值,把病毒文件添加到Windows防火牆默認放行列表:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe
鍵值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe
鍵值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"
3、該病毒的啓動方式在行爲中沒有表現出來,判斷該病毒是“木馬羣”中的一部分,通過“木馬羣”中的其它病毒體啓動。“木馬羣”是通過協同工作能夠完成一個或多個病毒功能的多個病毒組合。
網絡行爲:
1、連接網絡下載病毒文件:
連接網絡:
update3.china9k.cn(59.39.59.102:80)
下載病毒文件並自動運行:
eventrep.txt
setupurl.txt
運行後釋放到%System32%目錄下並重命名爲:
%System32%/eventrep.dll
%System32%/mop32.dll
2、 該病毒爲後門程序的受控端,具有自動尋找控制端的功能,一旦連接成功後,用戶電腦將會受到控制端遠程控制。
註釋:
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程序默認安裝目錄
%HomeDrive% 當前啓動系統所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% 當前用戶TEMP緩存變量;路徑爲:
%Documents and Settings%/當前用戶/Local Settings/Temp
%System32% 是一個可變路徑;
病毒通過查詢操作系統來決定當前System32文件夾的位置;
Windows2000/NT中默認的安裝路徑是 C:/Winnt/System32;
Windows95/98/Me中默認的安裝路徑是 C:/Windows/System;
WindowsXP中默認的安裝路徑是 C:/Windows/System32。
四、 清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦),請到安天網站下載:www.antiy.com 。
2、手工清除請按照行爲分析刪除對應文件,恢複相關系統設置。推薦使用ATool(安天安全管理工具),ATool下載地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木馬防線或ATool中的“進程管理”關閉病毒進程SACH0ST.exe
(2) 強行刪除病毒文件
%System32%/visAddst32.dat
%System32%/vispe64.dll
%System32%/vispe64.ldb
%System32%/wbem/msll32.dll
%System32%/wbem/SACH0ST.exe
%System32%/eventrep.dll
%System32%/mop32.dll
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe
鍵值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe
鍵值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"