Trojan-PSW.Win32.Delf.apx分析

　　病毒名称： Trojan-PSW.Win32.Delf.apx

　　病毒类型： 盗号木马类

　　文件 MD5： CF600DF73A80378F859FD94CF6338698

　　公开范围： 完全公开

　　危害等级： 3

　　文件长度： 28,707 字节

　　感染系统： Windows98以上版本

　　开发工具： Borland Delphi 6.0 - 7.0

　　加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus &Laszlo [Overlay]

　　病毒描述：

　　该病毒属魔兽游戏盗号木马。病毒运行后衍生病毒文件到%Program Files%\

　　Common Files\下，重命名为fjOs0r.dll；并衍生病毒文件到%Program Files%\

　　Internet Explorer\下，分别重命名为：OnlO0r.bak与OnlO0r.dll，该病毒文件

　　运行后把fjOs0r.dll和OnlO0r.dll注入到Explorer进程中以及由Explorer启动的

　　进程中，添加注册表项，达到开机自动加载的目的，由Explorer.exe连接网络下载

　　病毒文件。

　　行为分析：

　　本地行为：

　　1、文件运行后会释放以下文件：

　　%Program Files%\Common Files\fjOs0r.dll

　　%Program Files%\Internet Explorer\OnlO0r.bak

　　%Program Files%\Internet Explorer\OnlO0r.dll

　　2、新增注册表及启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

　　\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}

　　\InProcServer32]

　　值: 字符串: "@"="C:\Program Files

　　\Common Files\fjOs0r.dll"

　　描述：添加注册表项，达到开机自动加载的目的

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

　　\{D544C22D-1F70-4B1E-873D-D8DABEB26695}

　　\InProcServer32]

　　新建键值: 字串: "ThreadingModel "="Apartment"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

　　\Windows\CurrentVersion\Explorer\Sh

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

　　\Windows\CurrentVersion\Explorer

　　\ShellExecuteHooks

　　\{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C]

　　值: 字符串: ""

　　3、病毒文件运行后把fjOs0r.dll和OnlO0r.dll注入到Explorer进程

　　中以及由Explorer启动的进程中。

　　网络行为：

　　连接网络下载病毒文件：

　　59.34.197.***/Images/1.exe

　　到%Temp%文件夹

　　其中M1.exe为病毒主程序的最新版本（即病毒具有在线更新功能）

　　前面说的被感染的exe文件 也是连接网络下载这个文件。

　　病毒运行后衍生文件到：

　　%system32%\drivers\npf.sys

　　%system32%\qhdoor0.dll

　　%system32%\mndoor0.dll

　　%system32%\qqdoor0.dll

　　%system32%\qzdoor0.dll

　　%system32%\qsdoor0.dll

　　%system32%\fhdoor0.dll

　　并且插入Explorer.exe和由explorer.exe启动的进程，主要盗取

　　如下网络游戏的帐号和密码。

　　注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的

　　位置。

　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录

　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录

　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录

　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区

　　%Documents and Settings% 　　　当前用户文档根目录

　　%Temp% 　　　　　　　　　　　　\Documents and Settings

　　\当前用户\Local Settings\Temp

　　%System32% 　　　　　　　　　　系统的 System32文件夹

　　Windows2000/NT中默认的安装路径是C:\Winnt\System32

　　windows95/98/me中默认的安装路径是C:\Windows\System

　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　 　　　　　　　　

　　清除方案：

　　1 、使用安天防线2008可彻底清除此病毒(推荐)，

　　请到安天网站下载：www.antiy.com 。　

　　2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 　

　　(1)使用安天木马防线“进程管理”关闭病毒进程。　 　 　

　　(2)删除病毒文件：

　　%Program Files%\Common Files\fjOs0r.dll

　　%Program Files%\Internet Explorer\OnlO0r.bak

　　%Program Files%\Internet Explorer\OnlO0r.dll

　　%system32%\drivers\npf.sys

　　%system32%\qhdoor0.dll

　　%system32%\mndoor0.dll

　　%system32%\qqdoor0.dll

　　%system32%\qzdoor0.dll

　　%system32%\qsdoor0.dll

　　%system32%\fhdoor0.dll

　　(3)删除病毒添加的注册表项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

　　\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}

　　\InProcServer32]

　　值: 字符串: "@"="C:\Program Files

　　\Common Files\fjOs0r.dll"

　　描述：添加注册表项，达到开机自动加载的目的

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

　　\{D544C22D-1F70-4B1E-873D-D8DABEB26695}

　　\InProcServer32]

　　新建键值: 字串: "ThreadingModel "="Apartment"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

　　\Windows\CurrentVersion\Explorer\Sh

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

　　\Windows\CurrentVersion\Explorer

　　\ShellExecuteHooks

　　\{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C]

　　值: 字符串: ""