Trojan-PSW.Win32.Delf.wq专杀

123.exe

File size: 21271 bytes
MD5: 40726a160813243a8a8a5bf8db09698c
SHA1: 1cc32dc712cfb86b29735b72f6cd9e537f5e8478
packers: NsPack
packers: NSPack, PE_Patch

文件 123.exe 接收于 2007.08.04 06:52:22 (CET)
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.03 DR/Delphi.Gen
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.03 Win32:Cardspy-C
AVG 7.5.0.476 2007.08.03 -
BitDefender 7.2 2007.08.04 Generic.PWStealer.08B8D4DA
CAT-QuickHeal 9.00 2007.08.03 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.03 -
DrWeb 4.33 2007.08.03 BackDoor.Pigeon.1604
eSafe 7.0.15.0 2007.07.31 suspicious Trojan/Worm
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.03 -
FileAdvisor 1 2007.08.04 -
Fortinet 2.91.0.0 2007.08.04 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.03 Trojan-PSW.Win32.Delf.wq
Ikarus T3.1.1.8 2007.08.03 Backdoor.Win32.Agent.ahj
Kaspersky 4.0.2.24 2007.08.04 Trojan-PSW.Win32.Delf.wq
McAfee 5090 2007.08.03 New Malware.u
Microsoft 1.2704 2007.08.04 -
NOD32v2 2437 2007.08.03 -
Norman 5.80.02 2007.08.03 W32/Hupigon.gen67
Panda 9.0.0.4 2007.08.04 Suspicious file
Rising 19.34.40.00 2007.08.03 -
Sophos 4.19.0 2007.08.01 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.04 Infostealer.Gampass
TheHacker 6.1.7.162 2007.08.04 Trojan/PSW.Delf.wq
VBA32 3.12.2.2 2007.08.01 suspected of Backdoor.Hupigon.5
 (paranoid heuristics)
VirusBuster 4.3.26:9 2007.08.03 -
Webwasher-Gateway 6.0.1 2007.08.03 Trojan.Delphi.Gen

病毒标签：
 病毒名称： Trojan-PSW.Win32.Delf.wq
病毒类型： 木马类
文件 MD5： 40726a160813243a8a8a5bf8db09698c

公开范围： 完全公开
危害等级： 2
文件长度： 21,271 字节,脱壳后101,273.6字节
感染系统： windows 98以上版本
开发工具： －
加壳类型： NSPack 4.1

病毒源      ：123.exe
 
病毒描述：
 　　该病毒通过 恶意网站下载传播;具有盗号特性
 
行为分析：
 1 、病毒被激活后，在临时目录，衍生病毒文件：
　　　　
　　　　衍生病毒文件：
　　　　%USERPROFILE%\Local Settings\Temp\123.dll
　　　　%USERPROFILE%\Local Settings\Temp\wmsjxx.exe
               %USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll

2 、启动项目：
　　　　(1)、修改注册表，在ShellExecuteHooks添加随机键值，以钩子挂接文件的打开操作，以达
　　　　　　 到启动的目的：

　　　　　　 HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-27462B722F15}
　　　　　　 键值 : 字串: " 默认 " = "OFFICE"

                      HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-
                      27462B722F15}\InProcSERVER32\
　　　　　　 键值 :字串:"默认"=" %USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll"

　　　　　　 HKLM\SOFTWARE\Classes\CLSID\{389D84CA-DBAE-4C24-AF3B-
                      CB9E2817195A}\inProCserveR32\

　　　　　　 键值 : 字串: " 默认l " = "%USERPROFILE%\Local Settings\Temp\123.dll"

　　　　　　 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
                      Explorer\ShellExecuteHooks
　　　　　　 键值 : 字串: "{389D84CA-DBAE-4C24-AF3B-CB9E2817195A} " = ""
                      键值 : 字串:" {13B917C4-1B9D-1F93-237C-27462B722F15}" = ""

　　　　　　
3、DLL注入：程序explorer.exe尝试通过全局系统钩.子注入DLL文件123.DLL至所有运行中的程序。
挂钩类型：WH_GETMESSAGE（监控发送到消息队列的消息）.

4、DLL注入：程序wmsjxx.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型：WH_GETMESSAGE（监控发送到信息对列的消息）.

5、DLL注入：程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型：WH_CALLWNDPROC（监控信息·在系统发送它们到目标窗口程序前）.

5、DLL注入：程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型：WH_MOUSE（监控鼠标）.

5、DLL注入：程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型：WH_KEYBOARD（监控击键）.

5、DLL注入：程序explorer.exe尝试通过全局系统钩子注入.DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型：WH_GETMESSAGE（监控发送到消息队列的消息）.

5、DLL注入：程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型：WH_CALLWNDPROC（监控信息·在系统发送它们到目标窗口程序前）.

6、注入完毕后，打开 %SystemRoot%\system32\$FG25FG5DFG23.bat, wmsjxx.exe自杀！以下为批处理
内容：

:try
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsjxx.exe"
if EXIST "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsjxx.exe" goto try
del %0

7、该木马运行后连接网络，进行资料盗取

清除方案：
 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用     “进程管理”关闭病毒进程：
　　　　　　123.exe

　 　 (2)强行删除病毒文件：
               ?\123.exe
　　　　%USERPROFILE%\Local Settings\Temp\123.dll
　　　　%USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll　 　

           (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：

　　　      HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-27462B722F15}
　　　　键值 : 字串: " 默认 " = "OFFICE"

               HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-
               27462B722F15}\InProcSERVER32\
　　　      键值 :字.串:"默认"=" %USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll"
　　　　　　
               HKLM\SOFTWARE\Classes\CLSID\{389D84CA-DBAE-4C24-AF3B-
               CB9E2817195A}\inProCserveR32\
　　　　键值 : 字串: " 默认l " = "%USERPROFILE%\Local Settings\Temp\123.dll"

　　　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
               Explorer\ShellExecuteHooks
　　　      键值 : 字串: "{389D84CA-DBAE-4C24-AF3B-CB9E2817195A} " = ""
               键值 : 字串:" {13B917C4-1B9D-1F93-237C-27462B722F15}" = ""

            SREnglog分析参考：

根据SREng扫描日志请按照如.下步骤，尝试删除和修复

1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列.表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
c:\documents and settings\administrator\桌面\123.exe
c:\docume~1\admini~1\locals~1\temp\123.dll
c:\docume~1\admini~1\locals~1\temp\wmsjxx1xck.dll

2.删除重启后使用SREng修复.下面各项：

       启动项目 －－ 注册表之如下项删除：
[{13B917C4-1B9D-1F93-237C-27462B722F15}]    
  ＜C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsjxx1xck.dll＞
[{389D84CA-DBAE-4C24-AF3B-CB9E2817195A}]   
   ＜C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\123.dll＞