扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
123.exe
File size: 21271 bytes
MD5: 40726a160813243a8a8a5bf8db09698c
SHA1: 1cc32dc712cfb86b29735b72f6cd9e537f5e8478
packers: NsPack
packers: NSPack, PE_Patch
文件 123.exe 接收于 2007.08.04 06:52:22 (CET)
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.03 DR/Delphi.Gen
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.03 Win32:Cardspy-C
AVG 7.5.0.476 2007.08.03 -
BitDefender 7.2 2007.08.04 Generic.PWStealer.08B8D4DA
CAT-QuickHeal 9.00 2007.08.03 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.03 -
DrWeb 4.33 2007.08.03 BackDoor.Pigeon.1604
eSafe 7.0.15.0 2007.07.31 suspicious Trojan/Worm
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.03 -
FileAdvisor 1 2007.08.04 -
Fortinet 2.91.0.0 2007.08.04 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.03 Trojan-PSW.Win32.Delf.wq
Ikarus T3.1.1.8 2007.08.03 Backdoor.Win32.Agent.ahj
Kaspersky 4.0.2.24 2007.08.04 Trojan-PSW.Win32.Delf.wq
McAfee 5090 2007.08.03 New Malware.u
Microsoft 1.2704 2007.08.04 -
NOD32v2 2437 2007.08.03 -
Norman 5.80.02 2007.08.03 W32/Hupigon.gen67
Panda 9.0.0.4 2007.08.04 Suspicious file
Rising 19.34.40.00 2007.08.03 -
Sophos 4.19.0 2007.08.01 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.04 Infostealer.Gampass
TheHacker 6.1.7.162 2007.08.04 Trojan/PSW.Delf.wq
VBA32 3.12.2.2 2007.08.01 suspected of Backdoor.Hupigon.5
(paranoid heuristics)
VirusBuster 4.3.26:9 2007.08.03 -
Webwasher-Gateway 6.0.1 2007.08.03 Trojan.Delphi.Gen
病毒标签:
病毒名称: Trojan-PSW.Win32.Delf.wq
病毒类型: 木马类
文件 MD5: 40726a160813243a8a8a5bf8db09698c
公开范围: 完全公开
危害等级: 2
文件长度: 21,271 字节,脱壳后101,273.6字节
感染系统: windows 98以上版本
开发工具: -
加壳类型: NSPack 4.1
病毒源 :123.exe
病毒描述:
该病毒通过 恶意网站下载传播;具有盗号特性
行为分析:
1 、病毒被激活后,在临时目录,衍生病毒文件:
衍生病毒文件:
%USERPROFILE%\Local Settings\Temp\123.dll
%USERPROFILE%\Local Settings\Temp\wmsjxx.exe
%USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll
2 、启动项目:
(1)、修改注册表,在ShellExecuteHooks添加随机键值,以钩子挂接文件的打开操作,以达
到启动的目的:
HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-27462B722F15}
键值 : 字串: " 默认 " = "OFFICE"
HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-
27462B722F15}\InProcSERVER32\
键值 :字串:"默认"=" %USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll"
HKLM\SOFTWARE\Classes\CLSID\{389D84CA-DBAE-4C24-AF3B-
CB9E2817195A}\inProCserveR32\
键值 : 字串: " 默认l " = "%USERPROFILE%\Local Settings\Temp\123.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks
键值 : 字串: "{389D84CA-DBAE-4C24-AF3B-CB9E2817195A} " = ""
键值 : 字串:" {13B917C4-1B9D-1F93-237C-27462B722F15}" = ""
3、DLL注入:程序explorer.exe尝试通过全局系统钩.子注入DLL文件123.DLL至所有运行中的程序。
挂钩类型:WH_GETMESSAGE(监控发送到消息队列的消息).
4、DLL注入:程序wmsjxx.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_GETMESSAGE(监控发送到信息对列的消息).
5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_CALLWNDPROC(监控信息·在系统发送它们到目标窗口程序前).
5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_MOUSE(监控鼠标).
5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_KEYBOARD(监控击键).
5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入.DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_GETMESSAGE(监控发送到消息队列的消息).
5、DLL注入:程序explorer.exe尝试通过全局系统钩子注入DLL文件wmsjxx1xck.dll至所有运行中的程序。
挂钩类型:WH_CALLWNDPROC(监控信息·在系统发送它们到目标窗口程序前).
6、注入完毕后,打开 %SystemRoot%\system32\$FG25FG5DFG23.bat, wmsjxx.exe自杀!以下为批处理
内容:
:try
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsjxx.exe"
if EXIST "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsjxx.exe" goto try
del %0
7、该木马运行后连接网络,进行资料盗取
清除方案:
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用 “进程管理”关闭病毒进程:
123.exe
(2)强行删除病毒文件:
?\123.exe
%USERPROFILE%\Local Settings\Temp\123.dll
%USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-27462B722F15}
键值 : 字串: " 默认 " = "OFFICE"
HKLM\SOFTWARE\Classes\CLSID\{13B917C4-1B9D-1F93-237C-
27462B722F15}\InProcSERVER32\
键值 :字.串:"默认"=" %USERPROFILE%\Local Settings\Temp\wmsjxx1xck.dll"
HKLM\SOFTWARE\Classes\CLSID\{389D84CA-DBAE-4C24-AF3B-
CB9E2817195A}\inProCserveR32\
键值 : 字串: " 默认l " = "%USERPROFILE%\Local Settings\Temp\123.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks
键值 : 字串: "{389D84CA-DBAE-4C24-AF3B-CB9E2817195A} " = ""
键值 : 字串:" {13B917C4-1B9D-1F93-237C-27462B722F15}" = ""
SREnglog分析参考:
根据SREng扫描日志请按照如.下步骤,尝试删除和修复
1.建议使用XDelBox删除以下文件:(XDelBox1.3下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列.表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
c:\documents and settings\administrator\桌面\123.exe
c:\docume~1\admini~1\locals~1\temp\123.dll
c:\docume~1\admini~1\locals~1\temp\wmsjxx1xck.dll
2.删除重启后使用SREng修复.下面各项:
启动项目 -- 注册表之如下项删除:
[{13B917C4-1B9D-1F93-237C-27462B722F15}]
<C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmsjxx1xck.dll>
[{389D84CA-DBAE-4C24-AF3B-CB9E2817195A}]
<C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\123.dll>
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者