Board logo

标题: 盗号木马 Rootkit.Win32.Delf.l 和 Trojan-PSW.Win32.Delf.eve [打印本页]
作者: pioneer     时间: 2007-8-26 19:24    标题: 盗号木马 Rootkit.Win32.Delf.l 和 Trojan-PSW.Win32.Delf.eve

病毒名称

Rootkit.Win32.Delf.l
Trojan-PSW.Win32.Delf.eve

捕获时间

2007年8月26日

病毒症状  

  该木马程序是一个带有Rootkit驱动的盗号木马,Rootkit.Win32.Delf.l
驱动加载后会以Rootkit的方式守护对应的木马程序Trojan-PSW.Win32.Delf.eve,使得中毒后无法在文件夹中查找到木马文件,无法在任务管理器中查找到木马进程。


病毒分析

  该木马程序运行后会拷贝自身为kavo.exe到系统目录system32下运行;遍历非系统分区释放Autorun.inf及病毒自身文件ntdelect.com,利用Windows自动播放机制,使得打开驱动器的时候便会中毒;释放khuoux.dll及文件名称随机的驱动程序到临时目录下,该Rootkit驱动加载后通过修改服务描述符表的正确入口地址,如发现查看木马文件名以及进程的时则欺骗相关系统原生API函数,返回虚假的结果,以实现rootkit隐藏;将SSDT中多项原生API的入口地址重置回默认状态,使得多款杀毒软件实时监控功能失效,无法继续拦截病毒文件;将病毒文件kavo0.dll插入进程explorer.exe中,拦截鼠标、键盘等消息伺机盗取用户账号密码。

  注:释放的驱动文件名称变动较大,文件名位数在1~9之间变动。


中毒现象

  杀毒软件总是提示病毒需要在重启后清除,但重启后病毒依旧存在;使用常规辅助工具无法查找定位到病毒文件;系统中莫名其妙出现许多文件名明显异常的驱动程序。


感染对象

Windows2000/Windows XP/Windows2003

传播途径

网页挂马,文件捆绑

安全提示

      已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍和未知木马”,请直接选择删除处理,(如图1);

                                                                图1

      如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现Rootkit.Win32.Delf.l (如图2)或 Trojan-PSW.Win32.Delf.eve(如图3),请直接选择删除。


                                                                    图2



                                                                     图3
      
      使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

      
      没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

[ Last edited by pioneer on 2007-8-27 at 18:01 ]



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn