科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Trojan-PSW.Win32.Delf.wq专杀

Trojan-PSW.Win32.Delf.wq专杀

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

123.exe文件病毒标签:病毒名称: Trojan-PSW.Win32.Delf.wq,病毒类型: 木马类,该病毒通过 恶意网站下载传播;具有盗号特性,病毒被激活后,在临时目录,衍生病毒文件。

作者:zdnet安全频道 来源:论坛整理 2008年6月12日

关键字: 病毒专杀 123.exe

  • 评论
  • 分享微博
  • 分享邮件

123.exe

File size: 21271 bytes
MD5: 40726a160813243a8a8a5bf8db09698c
SHA1: 1cc32dc712cfb86b29735b72f6cd9e537f5e8478
packers: NsPack
packers: NSPack, PE_Patch

文件 123.exe 接收于 2007.08.04 06:52:22 (CET)
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.03 DR/Delphi.Gen
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.03 Win32:Cardspy-C
AVG 7.5.0.476 2007.08.03 -
BitDefender 7.2 2007.08.04 Generic.PWStealer.08B8D4DA
CAT-QuickHeal 9.00 2007.08.03 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.03 -
DrWeb 4.33 2007.08.03 BackDoor.Pigeon.1604
eSafe 7.0.15.0 2007.07.31 suspicious Trojan/Worm
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.03 -
FileAdvisor 1 2007.08.04 -
Fortinet 2.91.0.0 2007.08.04 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.03 Trojan-PSW.Win32.Delf.wq
Ikarus T3.1.1.8 2007.08.03 Backdoor.Win32.Agent.ahj
Kaspersky 4.0.2.24 2007.08.04 Trojan-PSW.Win32.Delf.wq
McAfee 5090 2007.08.03 New Malware.u
Microsoft 1.2704 2007.08.04 -
NOD32v2 2437 2007.08.03 -
Norman 5.80.02 2007.08.03 W32/Hupigon.gen67
Panda 9.0.0.4 2007.08.04 Suspicious file
Rising 19.34.40.00 2007.08.03 -
Sophos 4.19.0 2007.08.01 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.04 Infostealer.Gampass
TheHacker 6.1.7.162 2007.08.04 Trojan/PSW.Delf.wq
VBA32 3.12.2.2 2007.08.01 suspected of Backdoor.Hupigon.5
 (paranoid heuristics)
VirusBuster 4.3.26:9 2007.08.03 -
Webwasher-Gateway 6.0.1 2007.08.03 Trojan.Delphi.Gen


病毒标签:
 病毒名称: Trojan-PSW.Win32.Delf.wq
病毒类型: 木马类
文件 MD5: 40726a160813243a8a8a5bf8db09698c

公开范围: 完全公开
危害等级: 2
文件长度: 21,271 字节,脱壳后101,273.6字节
感染系统: windows 98以上版本
开发工具: -
加壳类型: NSPack 4.1

病毒源      :123.exe
 
病毒描述:
   该病毒通过 恶意网站下载传播;具有盗号特性
 
行为分析:
 1 、病毒被激活后,在临时目录,衍生病毒文件:
    
    衍生病毒文件:
    %USERPROFILE%\Local Settings\Temp\123.dll
    %USERPROFILE%\Local Settings\Temp\wmsjxx.exe
               %USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll

2 、启动项目:
    (1)、修改注册表,在ShellExecuteHooks添加随机键值,以钩子挂接文件的打开操作,以达
       到启动的目的:

       HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-27462B722F15}
       键值 : 字串: " 默认 " = "OFFICE"

                      HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-
                      27462B722F15}\InProcSERVER32\
       键值 :字串:"默认"=" %USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll"

       HKLM\SOFTWARE\Classes\CLSID\{389D84CA-DBAE-4C24-AF3B-
                      CB9E2817195A}\inProCserveR32\

       键值 : 字串: " 默认l " = "%USERPROFILE%\Local Settings\Temp\123.dll"

       HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
                      Explorer\ShellExecuteHooks
       键值 : 字串: "{389D84CA-DBAE-4C24-AF3B-CB9E2817195A} " = ""
                      键值 : 字串:" {13B917C4-1B9D-1F93-237C-27462B722F15}" = ""

      
3、DLL注入:程序explorer.exe尝试通过全局系统钩.子注入DLL文件123.DLL至所有运行中的程序。
挂钩类型:WH_GETMESSAGE(监控发送到消息队列的消息).

4、DLL注入:程序wmsjxx.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_GETMESSAGE(监控发送到信息对列的消息).

5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_CALLWNDPROC(监控信息·在系统发送它们到目标窗口程序前).

5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_MOUSE(监控鼠标).

5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_KEYBOARD(监控击键).

5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入.DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_GETMESSAGE(监控发送到消息队列的消息).

5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_CALLWNDPROC(监控信息·在系统发送它们到目标窗口程序前).

6、注入完毕后,打开 %SystemRoot%\system32\$FG25FG5DFG23.bat, wmsjxx.exe自杀!以下为批处理
内容:

:try
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsjxx.exe"
if EXIST "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsjxx.exe" goto try
del %0

7、该木马运行后连接网络,进行资料盗取


清除方案:
 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用     “进程管理”关闭病毒进程:
      123.exe

    (2)强行删除病毒文件:
               ?\123.exe
    %USERPROFILE%\Local Settings\Temp\123.dll
    %USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll   

           (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:

         HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-27462B722F15}
    键值 : 字串: " 默认 " = "OFFICE"

               HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-
               27462B722F15}\InProcSERVER32\
         键值 :字.串:"默认"=" %USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll"
      
               HKLM\SOFTWARE\Classes\CLSID\{389D84CA-DBAE-4C24-AF3B-
               CB9E2817195A}\inProCserveR32\
    键值 : 字串: " 默认l " = "%USERPROFILE%\Local Settings\Temp\123.dll"

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
               Explorer\ShellExecuteHooks
         键值 : 字串: "{389D84CA-DBAE-4C24-AF3B-CB9E2817195A} " = ""
               键值 : 字串:" {13B917C4-1B9D-1F93-237C-27462B722F15}" = ""

            SREnglog分析参考:

根据SREng扫描日志请按照如.下步骤,尝试删除和修复

1.建议使用XDelBox删除以下文件:(XDelBox1.3下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列.表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
c:\documents and settings\administrator\桌面\123.exe
c:\docume~1\admini~1\locals~1\temp\123.dll
c:\docume~1\admini~1\locals~1\temp\wmsjxx1xck.dll

2.删除重启后使用SREng修复.下面各项:

       启动项目 -- 注册表之如下项删除:
[{13B917C4-1B9D-1F93-237C-27462B722F15}]    
  <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsjxx1xck.dll>
[{389D84CA-DBAE-4C24-AF3B-CB9E2817195A}]   
   <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\123.dll>

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章