fjOs0r.dll,1.exe,Trojan-PSW.Win32.Delf.apx等盗号木马解决方案

taong

病毒标签：
病毒名称： Trojan-PSW.Win32.Delf.apx
病毒类型： 盗号木马类
文件 MD5： CF600DF73A80378F859FD94CF6338698
公开范围： 完全公开
危害等级： 3
文件长度： 28,707 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

病毒描述：
　　该病毒属魔兽游戏盗号木马。病毒运行后衍生病毒文件到%Program Files%\
Common Files\下，重命名为fjOs0r.dll；并衍生病毒文件到%Program Files%\
Internet Explorer\下，分别重命名为：OnlO0r.bak与OnlO0r.dll，该病毒文件
运行后把fjOs0r.dll和OnlO0r.dll注入到Explorer进程中以及由Explorer启动的
进程中，添加注册表项，达到开机自动加载的目的，由Explorer.exe连接网络下载
病毒文件。

行为分析：
本地行为：

1、文件运行后会释放以下文件：

　　　　%Program Files%\Common Files\fjOs0r.dll
　　　　%Program Files%\Internet Explorer\OnlO0r.bak
　　　　%Program Files%\Internet Explorer\OnlO0r.dll
　　
2、新增注册表及启动项：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}
　　　　\InProcServer32]
　　　　值: 字符串: "@"="C:\Program Files
　　　　\Common Files\fjOs0r.dll"
　　　　描述：添加注册表项，达到开机自动加载的目的

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
　　　　\InProcServer32]
　　　　新建键值: 字串: "ThreadingModel "="Apartment"
　　　
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer
　　　　\ShellExecuteHooks
　　　　\{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C]
　　　　值: 字符串: ""

3、病毒文件运行后把fjOs0r.dll和OnlO0r.dll注入到Explorer进程
　 中以及由Explorer启动的进程中。

网络行为：

连接网络下载病毒文件：

　　　　59.34.197.***/Images/1.exe
　　　　到%Temp%文件夹
　　　　其中M1.exe为病毒主程序的最新版本（即病毒具有在线更新功能）
　　　　前面说的被感染的exe文件 也是连接网络下载这个文件。
　　　　病毒运行后衍生文件到：
　　　　%system32%\drivers\npf.sys
　　　　%system32%\qhdoor0.dll
　　　　%system32%\mndoor0.dll
　　　　%system32%\qqdoor0.dll
　　　　%system32%\qzdoor0.dll
　　　　%system32%\qsdoor0.dll
　　　　%system32%\fhdoor0.dll
　　　　并且插入Explorer.exe和由explorer.exe启动的进程，主要盗取
　　　　如下网络游戏的帐号和密码。

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　 　　　　　　　　

　清除方案：
   手工清除请按照行为分析删除对应文件，恢复相关系统设置。 　
　 　 (1)使用安天木马防线“进程管理”关闭病毒进程。　 　 　
　 　 (2)删除病毒文件：
　 　 　%Program Files%\Common Files\fjOs0r.dll
　 　 　%Program Files%\Internet Explorer\OnlO0r.bak
　 　 　%Program Files%\Internet Explorer\OnlO0r.dll
　 　 　%system32%\drivers\npf.sys
　 　 　%system32%\qhdoor0.dll
　 　 　%system32%\mndoor0.dll
　 　 　%system32%\qqdoor0.dll
　 　 　%system32%\qzdoor0.dll
　 　 　%system32%\qsdoor0.dll
　 　 　%system32%\fhdoor0.dll

　 　 (3)删除病毒添加的注册表项：
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　 　 　\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}
　 　 　\InProcServer32]
　 　 　值: 字符串: "@"="C:\Program Files
　 　 　\Common Files\fjOs0r.dll"
　 　 　描述：添加注册表项，达到开机自动加载的目的
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　 　 　\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
　 　 　\InProcServer32]
　 　 　新建键值: 字串: "ThreadingModel "="Apartment"
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　\Windows\CurrentVersion\Explorer\Sh
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　\Windows\CurrentVersion\Explorer
　 　 　\ShellExecuteHooks
　 　 　\{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C]
　 　 　值: 字符串: ""