微点交流论坛 - 病毒快报 - 盗号木马 Trojan-PSW.Win32.Delf.fik

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 盗号木马 Trojan-PSW.Win32.Delf.fik

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 盗号木马 Trojan-PSW.Win32.Delf.fik

病毒名称

Trojan-PSW.Win32.Delf.fik

捕获时间

2007-9-21

病毒症状

该病毒是一个使用DEPHI编写的木马程序，长度为12,579字节，图标为windows默认可执行文件图标，病毒扩展名为exe，传播途径主要网页挂马，文件捆绑。

病毒分析

　　该木马程序激活后，在%systemroot%/system32下生成RAQJAPI.DLL和RAQJATL.EXE两个文件，其文件类型为隐藏的系统文件；遍历系统运行的进程，发现sungame.exe进程便将其强行结束；修改explorer的ShellExecuteHooks及CLSID下的InprocServer32项将RAQJAPI.DLL注入到explorer进程及其子进程中；

　　RAQJAPI.DLL被启动后通过修改注册表项禁用系统的自动更新；修改注册表添加防火墙规则；利用WINDOWS相关API函数监视玩家的鼠标操作和键盘输入，待玩家再次进入游戏输入游戏帐号和密码时，伺机盗取用户的账户密码；将盗取的帐号信息加密，通过邮件和网页收信空间发送给黑客。

病毒修改的注册表启动项：

项：HKCR\CLSID\{14783410-4F90-34A0-7820-3230ACD05F41}\InprocServer32
键值：(Default)
指向文件：C:\WINDOWS\system32\raqjapi.dll

项：HKLM \ Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks
键值：{14783410-4F90-34A0-7820-3230ACD05F41}
数值数据：

项：HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
键值：EnableFirewall
数值数据：0
项：HKLM\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
键值：NoAutoUpdate
数值数据：1

感染对象

Windows 98\ Windows ME\Windows 2000/Windows XP/Windows 2003

传播途径

网页挂马，文件捆绑

安全提示

　　已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

图1

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Trojan-PSW.Win32.Delf.fik”，请直接选择删除（如图2）。

图2

　　使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2007-9-22 18:56

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号