Worm.Delf.ha（Ghost.pif，PegeFile.pif）的分析

病毒样本：
Ghost.pif ， 20k，瑞星报Worm.Delf.ha
PegeFile.pif ，22k， 瑞星报Worm.Win32.Agent.zdf
2个行为相似，就放一起了
传播途径:U盘
传播目的：木马的server端，控制电脑

Ghost.pif释放C:\Program Files\Internet Explorer\romdrivers.dll,注入explorer.exe，svchost.exe，
添加注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
   注册表值： {0CB68AD9-FF66-3E63-636B-B693E62F6236}
HKCR\CLSID\{0CB68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32
    注册表值： C:\Program Files\Internet Explorer\romdrivers.dll

PegeFile.pif 释放C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll,注入explorer.exe，svchost.exe，
添加注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
   注册表值： {0EA66AD2-CF26-2E23-532B-B292E22F3266}
HKCR\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\InProcServer32
   注册表值： C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll

注入后网络状况



清除方法：
1，用费尔木马强力清除助手即可！复制上述所释放的文件，选择第二项抑制再生
2，删除相关注册表项

附：
点击下载金刀客工具包  （含本文中涉及的所有工具）

   病毒上报信箱: daokers@qq.com

文件名: 20080203PegeFile样本.rar
描述: daokers.com
下载链接: http://www.fs2you.com/files/c8fc5f14-de32-11dc-94d2-0014221f3995/

[本日志由 admin 于 2009-05-06 01:53 PM 编辑]