安装Windows Server 2008 Beta 3后电脑中得第一个病毒.Backdoor.Win32.Delf.auu

Backdoor.Win32.Delf.auu分析

Backdoor.Win32.Delf.auu分析

作者: 安天实验室, 　出处:IT专家网,　责任编辑: 张帅,

2007-10-05 08:00

　　该病毒运行后复制自身到系统目录，衍生病毒文件。为了能够顺利连接网络，不受拦截，把病毒文件添加到Windows防火墙默认放行列表中,该病毒还可连接远程控制端主机，等待受控……

　　一、病毒标签：

　　病毒名称： Backdoor.Win32.Delf.auu

　　病毒类型： 后门类

　　文件 MD5： 129410A4BC445D7A6432CB0EDB2E0BD2

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 697,344 字节

　　感染系统： Windows98以上版本

　　开发工具： Borland Delphi 6.0 - 7.0

　　加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub

　　二、病毒描述：

　　该病毒为后门类，病毒运行后复制自身到系统目录，衍生病毒文件。为了能够顺利连接网络，不受拦截，把病毒文件添加到Windows防火墙默认放行列表中。连接网络下载病毒更新文件。该病毒还可连接远程控制端主机，等待受控。

　　三、行为分析：

　　本地行为:

　　1、 文件运行后会释放以下文件

　　%System32%/visAddst32.dat 94

　　%System32%/vispe64.dll 94,208

　　%System32%/vispe64.ldb 64

　　%System32%/wbem/msll32.dll 841 字节

　　%System32%/wbem/SACH0ST.exe 697,344 字节

　　2、 新增注册表键值，把病毒文件添加到Windows防火墙默认放行列表：

　　HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe

　　键值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe

　　键值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"

　　3、该病毒的启动方式在行为中没有表现出来，判断该病毒是“木马群”中的一部分，通过“木马群”中的其它病毒体启动。“木马群”是通过协同工作能够完成一个或多个病毒功能的多个病毒组合。

　　网络行为:

　　1、连接网络下载病毒文件：

　　连接网络：

　　update3.china9k.cn(59.39.59.102:80)

　　下载病毒文件并自动运行：

　　eventrep.txt

　　setupurl.txt

　　运行后释放到%System32%目录下并重命名为：

　　%System32%/eventrep.dll

　　%System32%/mop32.dll

　　2、 该病毒为后门程序的受控端，具有自动寻找控制端的功能，一旦连接成功后，用户电脑将会受到控制端远程控制。

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量;路径为：

　　%Documents and Settings%/当前用户/Local Settings/Temp

　　%System32% 是一个可变路径;

　　病毒通过查询操作系统来决定当前System32文件夹的位置;

　　Windows2000/NT中默认的安装路径是　C:/Winnt/System32;

　　Windows95/98/Me中默认的安装路径是　C:/Windows/System;

　　WindowsXP中默认的安装路径是　C:/Windows/System32。

　　四、 清除方案：

　　1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool(安天安全管理工具)，ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。

　　(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程SACH0ST.exe

　　(2) 强行删除病毒文件

　　%System32%/visAddst32.dat

　　%System32%/vispe64.dll

　　%System32%/vispe64.ldb

　　%System32%/wbem/msll32.dll

　　%System32%/wbem/SACH0ST.exe

　　%System32%/eventrep.dll

　　%System32%/mop32.dll

　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe

　　键值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/C:/WINDOWS/system32/wbem/SACH0ST.exe

　　键值: 字符串: "C:/WINDOWS/system32/wbem/SACH0ST.exe:*:Enabled:Generic Hosts for WinService"