Worm.Delf.dy 1_.ii Worm.Delf.dy Setup.exe

煎饼

一个捆绑型的病毒，还能下木马``` 样本来至剑盟````有点意思，破例开了双HIPS跟踪`` 今天的卡吧、AVG、BitDefender、NOD32等都没有报`` 瑞星报的是：Worm.Delf.dy Aditional Information & x! s( _. d: _/ t. [4 @- d! o2 K File size: 20000 bytes MD5: 3087e68819f9521b7f8be1a17734c3fe SHA1: 82b39340a3da0bdde544f0f5e6b9df81e71797a2 CRC32     : 1C5A03D RIPEMD160: 397194446721BA5D7DD6A79CC2ADDC5690D9E49F Tiger_192: 4C55317A0FEEA4579665AE892B112E57972671985F50ABAC SHA160    : 82B39340A3DA0BDDE544F0F5E6B9DF81E71797A2 packers: Upack 0.3.9 beta2s Languages:Borland Delphi 6.0-7.0 运行，释放： C:\WINNT\system\internat.exe   20000 字节 C:\WINNT\system\SYSTEM32.vxd   855 字节 1_.ii 20000 字节    1、internat.exe常驻进程，调用CMD的Dir命令，遍历分区搜索EXE可执行文件，保存列表至：%Windir%\win.log 并修改所有运行中的程序的内存空间（便于用来后来捆绑）    2、按win.log里列表的"黑名单"进行捆绑，跳过系统盘、System Volume Information、Recycled文件夹和下列文件名： CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe zhengtu.exe xenettools.exe laizi.exe proxy.exe Launcher.exe WoW.exe              Repair.exeBackgroundDownloader.exe eo2_unins_web.exe O2Jam.exe O2JamPatchClient.exe O2ManiaDriverSelect.exe OTwo.exe sTwo.exe GAME2.EXE GAME3.EXE Game4.exe game.exe hypwise.exe Roadrash.exe O2Mania.exe Lobby_Setup.exe eCoralQQ.exe QQ.exe QQexternal.exe BugReport.exe tm.exe   ra2.exe ra3.exe ra4.exeexedzh.exe Findbug.EXE fb3.exe Meteor.exe mir.exe KartRider.exe NMService.exeztconfig.exe patchupdate.exe 貌似都是网游、QQ等进程，给下载木马盗号埋下伏笔.....    3、接下来从D盘开始进行捆绑感染，被捆绑的文件增加21034字节。用WinHex对比了下，原来是把病毒代码捆绑到文件尾部，并修改了PE头，优先执行捆绑尾部的代码，后执行程序。（原程序运行无影响）。    4、另一个线程，参数是/update，连接222.220.16.186（TCP）下载16个木马，都是盗号木马（隔段时间重新连接） 被捆绑后文件，运行后首先执行1_.ii，后在同目录下生成个批处理，内容为： :try del "%病毒路径%\1_.ii" if exist "%病毒路径%" goto try del %0 也就是执行捆绑尾部的病毒后删除自身 那么每次运行被感染的程序其实就是重新激活病毒，重头做上面那些，并遍历分区生成 Autorun.inf和Steup.exe Autorun.inf内容： [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\打开(&O)\command=setup.exe 达到双击分区激活病毒的效果，并支持U盘等移动介质传播。    没有特别好的解决方法，因为每个被“感染”的文件都等于是病毒，只要不小心运行感染的文件后，之前做的一切将都是徒劳的。 最大限度遏制方法： http://free.ys168.com/?gudugengkekao1下载： PowerRmv.com 101KB , m6 m6 J0 I( L8 {1 l SREng.rar 597KB . |. y( z4 K' h2 v; D4 V 打开PowerRmv,选上抑制对象再次生成，填入（一次一个，找不到的忽略）： C:\Windows\Win.log C:\Windows\system32\upxdnd.dll C:\Windows\system32\msdebug.dll C:\Windows\system32\windhcp.ocx C:\Windows\system32\nwizdh.exe C:\Windows\system32\msccrt.dll C:\Windows\system32\RemoteDbg.dll C:\Windows\system32\WinForm.dll C:\Windows\system32\AVPSrv.dll C:\Windows\system32\Kvsc3.dll C:\Windows\system\internat.exe C:\Windows\system\1.exe C:\Windows\system\2.exe C:\Windows\system\5.exe C:\Windows\system\6.exe C:\Windows\system\7.exe C:\Windows\system\8.exe C:\Windows\system\9.exe C:\Windows\system\10.exe C:\Windows\system\14.exe C:\Windows\system\SYSTEM32.vxd C:\Windows\upxdnd.exe C:\Windows\msccrt.exe C:\Windows\WinForm.exe C:\Windows\AVPSrv.exe C:\Windows\Kvsc3.exe C:\autorun.inf C:\setup.exe D:\autorun.inf D:\setup.exe E:\autorun.inf E:\setup.exe F:\autorun.inf F:\setup.exe *:\autorun.inf *:\setup.exe *为移动介质盘符。 打开SREng删除： 注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]      <k55d7c><C:\DOCUME~1\admin\LOCALS~1\Temp\iexplorer.exe>   []      <13e2><C:\DOCUME~1\admin\LOCALS~1\Temp\c0nime.exe>   [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]      <WinForm><C:\winnt\WinForm.exe>   []      <upxdnd><C:\winnt\upxdnd.exe>   []      <msccrt><C:\winnt\msccrt.exe>   []      <AVPSrv><C:\winnt\AVPSrv.exe>   []      <Kvsc3><C:\winnt\Kvsc3.exe>   [] 服务 [WIKLD / WIKLD][Stopped/Manual Start]    <C:\DOCUME~1\admin\LOCALS~1\Temp\WIKLD.exe><N/A> [Remote Debug Service / RemoteDbg][Stopped/Auto Start]    <C:\winnt\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation> [Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]    <C:\winnt\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation> 记得修改QQ、邮箱等密码。。。。 然后把病毒文件上报杀软，等识别吧````` 如果有兴趣的，可以用WinHex删除捆绑的数据，我成功了几个，不过蛮累的，不推荐.... 一些图：