[交流] TrojanDownloader.Delf.iiu第3代机器狗病毒变种分析

花仙子该用户已被删除

1楼大中小发表于 2008-2-25 00:21 显示全部帖子

TrojanDownloader.Delf.iiu第3代机器狗病毒变种分析

TrojanDownloader.Delf.iiu 第3代机器狗病毒变种分析
病毒名称：TrojanDownloader.Delf.iiu
中文名：“TrojanDownloader.Delf”变种iiu
病毒长度：21504字节
病毒类型：木马下载器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒描述：
TrojanDownloader.Delf.iiu“TrojanDownloader.Delf”变种iiu是木马下载器家族的最新成员之一，采用delphi语言编写，并经过添加UPX壳压缩处理，脱壳后的程序入口点为：00006FB4。“TrojanDownloader.Delf”变种iiu运行后，会在被感染计算机系统中的临时文件夹下释放一个恶意驱动文件（命名方式为“~*.tmp”，符号“*”表示随机。文件大小为：10,496 字节。），会自我复制到被感染计算机系统的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”目录下，并以原文件名称保存（同时会利用释放出来安装后的恶意驱动程序，将自身保存到真实的物理磁盘中，达到穿透“系统还原保护程序”的目的）。当“TrojanDownloader.Delf”变种iiu执行完毕后，会将恶意驱动文件删除，但该驱动还在内存中运行工作着。“TrojanDownloader.Delf”变种iiu会在被感染计算机系统的后台连接骇客指定远程服务器站点“http://www.ing168.cn/gaga/”和“www.shadowmp3.com/test/”，下载其它恶意程序“1.exe”、“2.exe”、“3.exe”和“logonsvc.exe”并自动调用运行。其中，所下载的恶意程序可能为木马下载器、远程控制后门或网络游戏盗号木马等，会给被感染计算机用户带去不同程度的损失。
恶意驱动程序“~*.tmp”（符号“*”表示随机）为Rootkit.Agent.da“代理”变种da，是“TrojanDownloader.Delf”变种iiu的恶意驱动文件，利用了磁盘过滤驱动技术和关机HOOK技术等。安装运行后，可以直接挂接磁盘IO端口进行读写真实磁盘物理地址中的数据和进行监控关机行为等操作。“TrojanDownloader.Delf”变种iiu会利用该恶意驱动文件将自身复制并保存到被感染计算机系统中真实磁盘的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”目录下，达到穿透“还原保护系统”的目的。并且当用户关闭或重新启动计算机时，这个恶意驱动文件还会把“TrojanDownloader.Delf”变种iiu重新再次写入到真实磁盘中对应的“启动”文件夹里。从而使“TrojanDownloader.Delf”变种iiu每次开机都可以利用“启动”文件夹来实现开机自我启动运行。

本帖转自：病毒中国http://www.viruscn.cn

TOP

作者的其他主题:
可爱的眼镜女佣究極の潮吹美少女潮吹少女徹底中出创意系列--羞恥裸體銅像思春期少女日本AV女优海外出击系列- 01 华美月

‹‹ 上一主题 | 下一主题 ››