微点交流论坛 - 病毒快报 - 木马程序 Trojan-Spy.Win32.Delf.dyu

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 木马程序 Trojan-Spy.Win32.Delf.dyu

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 木马程序 Trojan-Spy.Win32.Delf.dyu

病毒名称

Trojan-Spy.Win32.Delf.dyu

捕获时间

2007-9-26

病毒症状

　　该病毒是一个使用Delphi编写的木马程序，长度为12,833字节，图标为常规可执行文件图标，病毒扩展名为exe，传播途径主要为文件捆绑和网页挂马。

病毒分析

　　该木马程序激活后，拷贝自身并重命名为AVZXAST.EXE到%SystemRoot%\system32目录下；在该目录下生成AVZXAMN.DLL文件，修改其属性为隐藏和系统；修改注册表将AVZXAMN.DLL文件注入到explorer.exe进程及其子进程中；修改注册表项禁用系统自动更新功能，穿透Windows防火墙；修改注册表试图注入每个进程中；遍历进程，发现elementclient.exe进程便将其强行结束；利用相关API函数监视玩家的鼠标操作和键盘输入，待玩家再次进入游戏输入游戏帐号和密码时，信息便会被病毒截获，以邮件形式或网页收信空间发送给黑客。

中毒现象

　　CPU使用率几乎达到100%，在各个分区根目录下含有setup.exe、autorun.inf文件。

病毒注册表启动项：

项：HKCR\CLSID\ {1859245F-345D-BC13-AC4F-145D47DA34F1}\InprocServer32\
键值：(Default)
指向文件：avzxamn.dll

项：HKLM \ Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\
键值：{1859245F-345D-BC13-AC4F-145D47DA34F1}
数值数据：

项：HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
键值：EnableFirewall
数值数据：0

项：HKLM\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
键值：NoAutoUpdate
数值数据：1
键值：AUOptions
数值数据：1

项：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
键值：AppInit_DLLs
数值数据：avzxamn.dll

感染对象

Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003

传播途径

文件捆绑\网页挂马

安全提示

　　已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

　　　　　　　　　　图1

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Spy.Win32.Delf.dyu”，请直接选择删除（如图2）。

　　　　　　　　　　图2

　　使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2007-10-1 08:22

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号