• 欢迎访问金刀客博客!
  • 2019,春节快乐!

Worm.Delf.ha(Ghost.pif,PegeFile.pif)的分析

病毒分析 admin 6462次浏览 已收录 0个评论

病毒样本:
Ghost.pif , 20k,瑞星报Worm.Delf.ha
PegeFile.pif ,22k, 瑞星报Worm.Win32.Agent.zdf
2个行为相似,就放一起了
传播途径:U盘
传播目的:木马的server端,控制电脑
Ghost.pif释放C:\Program Files\Internet Explorer\romdrivers.dll,注入explorer.exe,svchost.exe,
添加注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表值: {0CB68AD9-FF66-3E63-636B-B693E62F6236}
HKCR\CLSID\{0CB68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32
注册表值: C:\Program Files\Internet Explorer\romdrivers.dll
PegeFile.pif 释放C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll,注入explorer.exe,svchost.exe,
添加注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表值: {0EA66AD2-CF26-2E23-532B-B292E22F3266}
HKCR\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\InProcServer32
注册表值: C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
注入后网络状况

清除方法:
1,用费尔木马强力清除助手即可!复制上述所释放的文件,选择第二项抑制再生
2,删除相关注册表项
附:
点击下载金刀客工具包 (含本文中涉及的所有工具)
病毒上报信箱: daokers@qq.com
文件名: 20080203PegeFile样本.rar
描述: daokers.com
下载链接: http://www.fs2you.com/files/c8fc5f14-de32-11dc-94d2-0014221f3995/


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明Worm.Delf.ha(Ghost.pif,PegeFile.pif)的分析
喜欢 (3)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到