一、病毒相关分析:
病毒标签:
病毒名称:Virus.Win32.Delf.bz
病毒类型:病毒
危害级别:3
感染平台:Windows
病毒大小:20,000(字节)
S H A 1 :46b2d7ae13f75a1b692d41a8b4e23f3be0a79291
加壳类型:UPack
开发工具: VC
病毒行为:
1、文件运行后,复制自身为以下文件:
%Windir%\system\winlogon.exe
%DriveLetter%\setup.exe
//该文件包含update和sleepDown两个可选参数
并释放文件:
%DriveLetter%\autorun.inf //利用自动运行机制运行文件setup.exe
2、利用Dir命令遍历非系统盘,并将各盘中以exe为扩展名的文件名称保存到:
%Windir%\win.log
3、监控以下程序进程:
my.EXE、 Mir.EXE、woool.EXE、KartRider.EXE、Launcher.EXE、FSOnline.EXE、
Launcher.EXE、 Empiresx.EXE、Empires.EXE、cngame.EXE、cstrike.EXE、
DIABLOII.EXE、FSOnline.EXE、Heroes3.EXE、BDLiveUpdate.EXE、MagicFlash.EXE、
MagicBook.EXE、QQLiveUpdate.EXE、TIMPlatform.EXE、GAME2.EXE、GAME3.EXE、
Game4.EXE、STAR107.EXE、STAR108.EXE、Star109.EXE、star110.EXE、Menu.EXE、
XY2.EXE、WINWORD.EXE、EXCEL.EXE、sdoupdate.exe、刀剑Online.exe、
O2JamRun.exe、 patcher.exe、Mixer.exe、my.exe、Tantra.exe、WoW.exe、
Warcraft III.exe、Launcher.exe、SNDAFW.exe、LineageII.exe、Travia.exe、
sdoupdate.exe、 O2JamRun.exe、patcher.exe、Mixer.exe、Tantra.exe、Launcher.exe、
SNDAFW.exe、 LineageII.exe、Travia.exe
如果系统进程中出现以上进程,则通过读取进程在内存中的地址空间,盗取用户的敏感息。
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:
http://www.sucop.com/download/16.html
手工清除方法:
1、结束病毒进程。打开超级巡警,选择进程管理功能,终止winlogon.exe进程。
//注意:该进程全路径为%Windir%\system\winlogon.exe
2、删除病毒生成的文件winlogon.exe和各盘根目录的setup.exe。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要使用IE内核的浏览器。
9、不要随便打开不明来历的电子邮件,尤其是邮件附件。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS 系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
