¿Cuáles son los peligros del programa troyano Trojar-psw.win32.delf.qc?
Análisis de Trojan-PSW.Win32.Delf.qc
Etiqueta del virus: Nombre del virus: Trojan-PSW.Win32.Delf.qc
Tipo de virus: Trojan
Archivo MD5: CAA66210E00A4C5A78A73A9588671671
Alcance de la divulgación: divulgación completa
Nivel de peligro: 3
Longitud del archivo: 22,964 bytes
Sistema infectado: windows98 o superior
Herramienta de desarrollo: Borland Delphi 6.0 - 7.0
Tipo de embalaje: UPX 0.89.6 - 1.02 / 1.05 - 1.24
Comparación de nombres: BitDefender [? Generic.PWStealer.855706A3]
Descripción del virus: este virus pertenece a la clase de caballo de Troya. Después de ejecutar el virus, el archivo del virus se deriva al directorio del sistema, conéctese a. la red y descargue el archivo de virus en la ejecución local, modifique el registro y agregue elementos de inicio para lograr un inicio aleatorio. Los virus descargados por este troyano son todos troyanos que roban números y contraseñas de cuentas QQ y de juegos en línea. Oculte el proceso del virus a través de la función del sistema HOOK.
Análisis de comportamiento: 1. El archivo de virus derivado después de ejecutar el virus:
%Temp%\c0nime.exe
%Temp%\Gjzo0.dll
%Temp%\iexpl0re.exe
%Temp%\LgSy0.dll
%Temp%\qq.exe
% Temp%\ upxdnd.dll
%Temp%\zt.exe
%Archivos de programa%\Common Files\Microsoft Shared\MSInfo\NewInfo.bmp
%Archivos de programa %\Common Files\Microsoft Shared\MSInfo\system.2dt
%Archivos de programa%\Internet Explorer\PLUGINS\system2.jmp
%Archivos de programa%\Internet Explorer \PLUGINS\ System64.sys
%WINDIR%\cmdbcs.exe
%WINDIR%\mppds.exe
%WINDIR%\mscct.exe
%system32%\cmdbcs.dll
%system32%\drivers\npf.sys
%system32%\fpsini.dll
% system32%\ gdipri.dll
%system32%\mppds.dll
%system32%\mscct.dll
%system32%\Packet.dll
%system32%\systemm.exe
%system32%\WanPacket.dll
%system32%\wpcap.dll
2. el registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor clave: Cadena: "c15vri220"="%Temp%\c0nime.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor clave: Cadena: "dvzmsw"="%Temp%\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \Windows\CurrentVersion\Run
Valor clave: Cadena: "cmdbcs"="%WINDIR%\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor clave: Cadena: "mppds"="%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Run
Valor clave: Cadena: "mscct "="%WINDIR%\mscct.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion \Run
Valor clave: Cadena: "nwizqjsj"="%system32%\nwizqjsj.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
p>Valor clave: Cadena: "upxdnd"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\zt.exe"
HKEY_CURRENT_USER\Software\Tencent\ Hook2 \
Valor clave: Cadena: "First"="wk"
HKEY_CURRENT_USER\Software\Tencent\IeHook
Valor clave: Cadena: " Primero"= "kk"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }\InprocServer32\@
Valor clave: Cadena: "%system32%\gdipri.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 754FB7D8-B8FE-4810-B363-A788CD060F1F }\InProcServer32 \@
Valor clave: Cadena: "%Program Files%\Internet Explorer\PLUGINS\System64.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer \ShellExecuteHooks\{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }
Valor clave: Cadena: "gdipri.dll"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services\NPF\ImagePath
Valor clave: Cadena: "system32\drivers\npf.sys"
3. El virus inserta el siguiente archivo en el proceso normal del sistema explorer.exe:
%Temp%\Gjzo0.dll
%Temp%\iexpl0re.exe
%Temp%\upxdnd.dll
%system32% \cmdbcs.dll
%system32%\mppds.dll
%system32%\mscct.dll
%Archivos de programa%\Common Files\Microsoft
Shared\MSInfo\NewInfo.bmp
%Program Files%\Internet Explorer\PLUGINS\System64.sys
4. Ocultar el proceso del virus a través de la función del sistema HOOK.
5. Conéctese a la red y descargue el archivo de virus:
Dirección de descarga: M*.p*ga*e*.com/0/mh.exe
Nombre de dominio: M*.p*ga*e*.com
Dirección IP: 5*.2*8.2*2.1*3
Dirección física: Ciudad de Xuzhou, Provincia de Jiangsu
6. Este virus descarga una gran cantidad de troyanos de robo de cuentas y los ejecuta en la computadora local, que pueden robar los números y contraseñas de los juegos en línea y de las cuentas QQ de los usuarios.
Nota: % System% es una ruta variable. El virus consulta al sistema operativo para determinar la ubicación de la carpeta del sistema actual. La ruta de instalación predeterminada en Windows2000/NT es C:\Winnt\System32, la ruta de instalación predeterminada en Windows95/98/me es C:\Windows\System y la ruta de instalación predeterminada en WindowsXP es C:\Windows\System32.
------------------------------------------ --- -------------------------------------
Plan de liquidación: 1. Utilice Antiy Trojan Defense para eliminar completamente este virus (recomendado)
2. Para la eliminación manual, elimine los archivos correspondientes según el análisis de comportamiento y restaure la configuración relacionada del sistema.
(1) Utilice Antiy Trojan Defense para desconectar la red y finalizar el proceso del virus:
explorer.exe
(2) Elimine el archivo de virus:
%Temp%\c0nime.exe
%Temp%\Gjzo0.dll
%Temp%\iexpl0re.exe
%Temp %\ LgSy0.dll
%Temp%\qq.exe
%Temp%\upxdnd.dll
%Temp%\zt.exe
%Archivos de programa%\Common Files\Microsoft
Shared\MSInfo\NewInfo.bmp
%Archivos de programa%\Common Files\Microsoft
Shared\ MSInfo\system.2dt
%Archivos de programa%\Internet Explorer\PLUGINS\system2.jmp
%Archivos de programa%\Internet Explorer\PLUGINS\System64.sys
%WINDIR%\cmdbcs.exe
%WINDIR%\mppds.exe
%WINDIR%\mscct.exe
%system32%\ cmdbcs.dll
%system32%\drivers\npf.sys
%system32%\fpsini.dll
%system32%\gdipri.dll
%system32%\mppds.dll
%system32%\mscct.dll
%system32%\Packet.dll
%system32%\ systemm. exe
%system32%\WanPacket.dll
%system32%\wpcap.dll
(3) Restaurar los elementos del registro modificados por el virus y eliminar las adiciones de virus Clave de registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Valor de clave: Cadena: "c15vri220"="% Temp %\c0nime.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Valor clave: Cadena: "dvzmsw"="% Temp%\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Valor clave: Cadena: "cmdbcs"="%WINDIR%\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Valor clave: Cadena: "mppds"="%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Valor clave: Cadena: "mscct "="%WINDIR%\mscct.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Valor clave: Cadena: "nwizqjsj"="%system32%\nwizqjsj.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\
Valor clave: Cadena: "upxdnd"="C:\DOCUME~1\COMMAN~1\
LOCALS~1\Temp\ zt.exe"
HKEY_CURRENT_USER\Software\Tencent\Hook2\
Valor clave: Cadena: "First"="wk"
HKEY_CURRENT_USER\Software\ Tencent\IeHook
Valor clave: Cadena: "First"="kk"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 131AB311-16F1- F13B-1E43-11A24B51AFD1 }\ InprocServer32\@
Valor clave: Cadena: "%system32%\gdipri.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 754FB7D8-B8FE -4810-B363-A788CD060F1F }\InProcServer32\@
Valor clave: Cadena: "%Archivos de programa%\Internet
Explorer\PLUGINS\ System64.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks\
{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }
Valor clave : Cadena: "Dios
ipri.dll"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
NPF\ImagePath
Valor clave: Cadena: "system32\drivers\npf.sys "