Trojan-Downloader.Win32.Delf.iwi
病毒名称
Trojan-Downloader.Win32.Delf.iwi
病毒症状
该程序是使用Delphi编写的木马程序,采用UPX加壳试图躲避特征码扫描,加壳后长度21,504字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
病毒分析
该样本被执行后,将驱动文件“~46.tmp”(46是一个随机值)释放到%Temp%目录下,调用SCM写注册表将~46.tmp注册成名为sys_flt的windows内核服务,并通过相关API启动;服务启动后创建磁盘设备“\\Device\\yyy2”,创建目录对象“\\Device\\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄;拷贝自身到开始->附件->启动组中,打开设备“\\Device\\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘,利用CopyFileA函数将“%Temp%\\~67.tmp”及启动组中的病毒文件拷贝到“\\\\.\\yyy2”中,以达到突破还原卡的目的;在“%SystemRoot%\\System32\\”下释放批处理文件Deletedll.bat,执行后删除“%Temp%\\~46.tmp”和Deletedll.bat;病毒调用API函数URLDownloadToFileA从网络上下载各种病毒到系统磁盘根目录下并执行。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马,文件捆绑
YissAi建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
技术细节
Deletedll.bat文件内容为:
:try
del "C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\~46.tmp"
if exist "C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\~46.tmp" goto try
del %0
病毒新建的注册表项:
项:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\sys_flt
键值:Start(服务启动方式)
数值数据:00000002
键值:ImagePath(服务映像路径)
数值数据:%Temp%\\~46.tmp
键值:DisplayName(服务显示名称)
数值数据:sys_flt
键值:ObjectName(服务对象名称)
数值数据:LocalSystem
病毒下载木马的地址:
http://www.***168.cn/gaga/1.exe
http://www.***168.cn/gaga/2.exe
http://www.***168.cn/gaga/3.exe
http://www.********3.com/test/logonsvc.exe