Red de conocimiento informático - Problemas con los teléfonos móviles - ¿Cuáles son los peligros del programa troyano Trojar-psw.win32.delf.qc?

¿Cuáles son los peligros del programa troyano Trojar-psw.win32.delf.qc?

Análisis de Trojan-PSW.Win32.Delf.qc

Etiqueta del virus: Nombre del virus: Trojan-PSW.Win32.Delf.qc

Tipo de virus: Trojan

Archivo MD5: CAA66210E00A4C5A78A73A9588671671

Alcance de la divulgación: divulgación completa

Nivel de peligro: 3

Longitud del archivo: 22,964 bytes

Sistema infectado: windows98 o superior

Herramienta de desarrollo: Borland Delphi 6.0 - 7.0

Tipo de embalaje: UPX 0.89.6 - 1.02 / 1.05 - 1.24

Comparación de nombres: BitDefender [? Generic.PWStealer.855706A3]

Descripción del virus: este virus pertenece a la clase de caballo de Troya. Después de ejecutar el virus, el archivo del virus se deriva al directorio del sistema, conéctese a. la red y descargue el archivo de virus en la ejecución local, modifique el registro y agregue elementos de inicio para lograr un inicio aleatorio. Los virus descargados por este troyano son todos troyanos que roban números y contraseñas de cuentas QQ y de juegos en línea. Oculte el proceso del virus a través de la función del sistema HOOK.

Análisis de comportamiento: 1. El archivo de virus derivado después de ejecutar el virus:

%Temp%\c0nime.exe

%Temp%\Gjzo0.dll

%Temp%\iexpl0re.exe

%Temp%\LgSy0.dll

%Temp%\qq.exe

% Temp%\ upxdnd.dll

%Temp%\zt.exe

%Archivos de programa%\Common Files\Microsoft Shared\MSInfo\NewInfo.bmp

%Archivos de programa %\Common Files\Microsoft Shared\MSInfo\system.2dt

%Archivos de programa%\Internet Explorer\PLUGINS\system2.jmp

%Archivos de programa%\Internet Explorer \PLUGINS\ System64.sys

%WINDIR%\cmdbcs.exe

%WINDIR%\mppds.exe

%WINDIR%\mscct.exe

%system32%\cmdbcs.dll

%system32%\drivers\npf.sys

%system32%\fpsini.dll

% system32%\ gdipri.dll

%system32%\mppds.dll

%system32%\mscct.dll

%system32%\Packet.dll

%system32%\systemm.exe

%system32%\WanPacket.dll

%system32%\wpcap.dll

2. el registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Valor clave: Cadena: "c15vri220"="%Temp%\c0nime.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Valor clave: Cadena: "dvzmsw"="%Temp%\iexpl0re.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \Windows\CurrentVersion\Run

Valor clave: Cadena: "cmdbcs"="%WINDIR%\cmdbcs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Valor clave: Cadena: "mppds"="%WINDIR%\mppds.exe"

HKEY_LOCAL_MACHINE\SOFTW

ARE\Microsoft\Windows\CurrentVersion\Run

Valor clave: Cadena: "mscct "="%WINDIR%\mscct.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion \Run

Valor clave: Cadena: "nwizqjsj"="%system32%\nwizqjsj.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

p>

Valor clave: Cadena: "upxdnd"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\zt.exe"

HKEY_CURRENT_USER\Software\Tencent\ Hook2 \

Valor clave: Cadena: "First"="wk"

HKEY_CURRENT_USER\Software\Tencent\IeHook

Valor clave: Cadena: " Primero"= "kk"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }\InprocServer32\@

Valor clave: Cadena: "%system32%\gdipri.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{ 754FB7D8-B8FE-4810-B363-A788CD060F1F }\InProcServer32 \@

Valor clave: Cadena: "%Program Files%\Internet Explorer\PLUGINS\System64.sys"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer \ShellExecuteHooks\{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }

Valor clave: Cadena: "gdipri.dll"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services\NPF\ImagePath

Valor clave: Cadena: "system32\drivers\npf.sys"

3. El virus inserta el siguiente archivo en el proceso normal del sistema explorer.exe:

%Temp%\Gjzo0.dll

%Temp%\iexpl0re.exe

%Temp%\upxdnd.dll

%system32% \cmdbcs.dll

%system32%\mppds.dll

%system32%\mscct.dll

%Archivos de programa%\Common Files\Microsoft

Shared\MSInfo\NewInfo.bmp

%Program Files%\Internet Explorer\PLUGINS\System64.sys

4. Ocultar el proceso del virus a través de la función del sistema HOOK.

5. Conéctese a la red y descargue el archivo de virus:

Dirección de descarga: M*.p*ga*e*.com/0/mh.exe

Nombre de dominio: M*.p*ga*e*.com

Dirección IP: 5*.2*8.2*2.1*3

Dirección física: Ciudad de Xuzhou, Provincia de Jiangsu

6. Este virus descarga una gran cantidad de troyanos de robo de cuentas y los ejecuta en la computadora local, que pueden robar los números y contraseñas de los juegos en línea y de las cuentas QQ de los usuarios.

Nota: % System% es una ruta variable. El virus consulta al sistema operativo para determinar la ubicación de la carpeta del sistema actual. La ruta de instalación predeterminada en Windows2000/NT es C:\Winnt\System32, la ruta de instalación predeterminada en Windows95/98/me es C:\Windows\System y la ruta de instalación predeterminada en WindowsXP es C:\Windows\System32.

------------------------------------------ --- -------------------------------------

Plan de liquidación: 1. Utilice Antiy Trojan Defense para eliminar completamente este virus (recomendado)

2. Para la eliminación manual, elimine los archivos correspondientes según el análisis de comportamiento y restaure la configuración relacionada del sistema.

(1) Utilice Antiy Trojan Defense para desconectar la red y finalizar el proceso del virus:

explorer.exe

(2) Elimine el archivo de virus:

%Temp%\c0nime.exe

%Temp%\Gjzo0.dll

%Temp%\iexpl0re.exe

%Temp %\ LgSy0.dll

%Temp%\qq.exe

%Temp%\upxdnd.dll

%Temp%\zt.exe

%Archivos de programa%\Common Files\Microsoft

Shared\MSInfo\NewInfo.bmp

%Archivos de programa%\Common Files\Microsoft

Shared\ MSInfo\system.2dt

%Archivos de programa%\Internet Explorer\PLUGINS\system2.jmp

%Archivos de programa%\Internet Explorer\PLUGINS\System64.sys

%WINDIR%\cmdbcs.exe

%WINDIR%\mppds.exe

%WINDIR%\mscct.exe

%system32%\ cmdbcs.dll

%system32%\drivers\npf.sys

%system32%\fpsini.dll

%system32%\gdipri.dll

%system32%\mppds.dll

%system32%\mscct.dll

%system32%\Packet.dll

%system32%\ systemm. exe

%system32%\WanPacket.dll

%system32%\wpcap.dll

(3) Restaurar los elementos del registro modificados por el virus y eliminar las adiciones de virus Clave de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run

Valor de clave: Cadena: "c15vri220"="% Temp %\c0nime.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run

Valor clave: Cadena: "dvzmsw"="% Temp%\iexpl0re.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

Valor clave: Cadena: "cmdbcs"="%WINDIR%\cmdbcs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

Valor clave: Cadena: "mppds"="%WINDIR%\mppds.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

Valor clave: Cadena: "mscct "="%WINDIR%\mscct.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

Valor clave: Cadena: "nwizqjsj"="%system32%\nwizqjsj.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run\

Valor clave: Cadena: "upxdnd"="C:\DOCUME~1\COMMAN~1\

LOCALS~1\Temp\ zt.exe"

HKEY_CURRENT_USER\Software\Tencent\Hook2\

Valor clave: Cadena: "First"="wk"

HKEY_CURRENT_USER\Software\ Tencent\IeHook

Valor clave: Cadena: "First"="kk"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{ 131AB311-16F1- F13B-1E43-11A24B51AFD1 }\ InprocServer32\@

Valor clave: Cadena: "%system32%\gdipri.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{ 754FB7D8-B8FE -4810-B363-A788CD060F1F }\InProcServer32\@

Valor clave: Cadena: "%Archivos de programa%\Internet

Explorer\PLUGINS\ System64.sys"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\ShellExecuteHooks\

{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }

Valor clave : Cadena: "Dios

ipri.dll"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\

NPF\ImagePath

Valor clave: Cadena: "system32\drivers\npf.sys "