Trojan-PSW.Win32.Nilage.bcw

百科 2022-12-31 12:41:01 admin

后台-插件-广告管理-内容页头部广告（手机）

Trojan-PSW.Win32.Nilage.bcw是属于木马类病毒，是基于Borland Delphi 设计的主要针对微软windows系统的病毒，通来自过存储介质、恶意网站、其它病毒，木马下载方式进入用户的电脑后进行信息盗养孔科出花热希取、arp欺骗、远程控制等活动。目前常见的杀毒软件均有针对性升级病毒库和专杀工具。

中文名称 Trojan-PSW.Win32.Nilage.bcw
病毒类型木马类
危害等级 3
公开范围完全公开

病毒简介

　　病毒名称: Trojan-PSW.Win32.Nilage.bcw

　　病毒类型: 木马类

　　文件 MD5: 48ABEEBC0D32069184C46A86A4C363D9

　　公开范围: 完全公开

　　危害等级: 3

文件长度

　　33,363 字节,脱壳后120,832 字节

感染系统

　　windows 98以上版本

开发工具

　　Borland Delphi 6.0 - 7.0

加壳类型

　　UPX 0.89.6 - 1.02 / 1.05 - 1.22

病毒描述

　　该病毒通过移动存储介质、恶意网站、其它病毒 /木马下载大面积传播;由于该病毒查杀和劫持杀毒软件、防火墙、病毒查杀工具软件，且插入其它进程的"随机 8位数字与字母组合.dll"

　　对注册表和病毒文件有监视和保护功能，则对其查杀该病毒有一定难度，更增加了其生存的空间。该木马可以通过插入的"随机8位数字与字母组合.dll"来记录用户的操作，从而达到盗取用户的

　　敏感信息目的。该木马运行后连接网络，更新文件，下载其它病毒文件，进行信息盗取、 arp 欺

　　骗、远程控制等。

行为分析

　　1 、病毒被激活后，飞钟县血征部建消师复制自身到系统目录和各个驱动器下，衍生病毒文打余乎某件:

　　自身副本文件:

　　%Program Files%\Common File备s\Microsoft Shared\

　　MSInfo\随机8位数字与字母组来自合.dat

　　%WIND半看混乐械富色接IR%\Help\随机8位数字与字母组合.chm

　　衍生病毒文件:

　　%Program Files%\Commo360百科n Files\Microsoft Shared\

　　MSInfo\随机8位数字与字母组合.dll

　　%WINDIR%\随机8位数字与字母组合.hlp

　　%system%\verclsid.exe.bak(删除原verclsid.exe文件的弦施简散刻，

　　并建立副本verclsid.exe.bak)

　　各个驱动器下释放自身副本:

　　[DRIVE LETTER]:\ Au步余院带型宣toRun.inf

　　[DRIVE LET耐陈氧草益TER]:\ 随机8位数字与字母组合.exe

　　注:随机 8位数字与字母组合, 本次感染补样为:80C88D28

　　2 、启动项目:

　　永跟周短镇艺地范使布七(1)、修改注册表坚远火品方，在ShellExecute帝路却赶上都Hooks添加键没月导置专还看讨值，以钩子挂接文件的打开操作，以达

　　到启动的目的:

　　HKLM\SOFTWARE\Classes\CLSID\{88D管呢280C8-80C8-8D28-C88D-0C8D2 0C88D28}

　　键值 : 字串: " 默认 " = ""

　　HKLM\SOFTWARE\Classes\史刚专培胡局此席CLSID\{88D280断者倍C8-80C8-8D28-C88D-

　　0C8D20C88D28}\InProcServer32\

　　HKLM\SOFTWARE\Classes\CLSID\{88D280C8-80C8-8各怀触宪慢号八积穿部D28-C88D-

　　础子孔0C8D20C88D28}\InProcServer32

　　键值 :字串:"默认"=" %ProgramFil呼谁杂进困质搞价板高es%\CommonFiles\MicrosoftShared\

　　MSInfo\ 随机 8位数字与字母组合.dll "

　　HKLM\SOFTWARE\Classes\CLSID\{88D280C8-80C8-8D28-C88D-

　　0C8D20C88D28}\InProcServer32

　　键值 : 字串: " ThreadingModel " = "Apartment"

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

　　Explorer\ShellExecuteHooks

　　键值 : 字串: " " = ""

　　(2)、修改注册表恢复硬盘或光驱的 AutoRun功能:

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\

　　Explorer\NoDriveTypeAutoRun

　　键值 : DWORD: 145 (0x91)

　　在各个驱动器下释放 AutoRun.inf文件，从而在打开驱动器时运行同目录下的

　　"随机8位数字与字母组合.exe"文件， AutoRun代码如下:

　　[AutoRun]

　　open=80C88D28.exe

　　shell\open=打开(&O)

　　shell\open\Command= 随机 8位数字与字母组合.exe

　　shell\open\Default=1

　　shell\explore=资源管理器(&X)

　　shell\explore\Command= 随机 8位数字与字母组合.exe

　　3 、"随机 8位数字与字母组合.dll"插入到Explorer.exe进程中，以Explorer.exe进程监视其

　　写入的注册表键值,如删除则恢复; 尝试通过钩子挂接使"随机8位数字与字母组合.dll"插入

　　到IEXPLORER.EXE进程和应用程序进程中。

　　4 、监视并关闭众多杀毒软件、防火墙、病毒查杀工具软件的进程与窗口及和杀毒相关网站，甚

　　至带有病毒等关键字的窗口:

　　AntiVirus TrojanFirewall

　　Kaspersky

　　JiangMin

　　KV200

　　Kxp

　　Rising

　　RAV

　　RFW

　　KAV200

　　KAV6

　　McAfe

　　Network Associates

　　TrustPort

　　NortonSymantec SYMANT~1

　　Norton SystemWorks

　　ESET

　　Grisoft

　　F-Pro

　　Alwil Software

　　ALWILS~1

　　F-Secure

　　ArcaBit

　　Softwin

　　ClamWin

　　DrWe

　　Fortineanda Software

　　Vba3

　　Trend Micro

　　QUICKH~1

　　TRENDM~1

　　Quick Heal

　　eSafewido

　　Prevx1

　　Ers

　　Avg

　　Ikarus

　　SophoSunbeltPC-cilli

　　ZoneAlar

　　Agnitum

　　WinAntiVirus

　　AhnLab

　　Normasurfsecret

　　Bullguard\Blac

　　360safe

　　SkyNet

　　Micropoint

　　Iparmor

　　Ftc

　　mmjk2007

　　Antiy Labs

　　LinDirMicro Lab

　　Filseclab

　　Ast

　　System Safety Monitor

　　ProcessGuard

　　FengYun

　　Lavasoft

　　Spy Cleaner Gold

　　CounterSpy

　　EagleEyeOS

　　Webroot

　　BufferZ

　　Avp

　　AgentSvr

　　CCenter

　　Rav

　　RavMonD

　　RavStub

　　RavTask

　　Rfwcfg

　　Rfwsrv

　　RsAgent

　　Rsaupd

　　Runiep

　　SmartUp

　　FileDsty

　　RegClean

　　360tray

　　360Safe

　　360rpt

　　Kabaload

　　Safelive

　　Ras

　　KASMain

　　KASTask

　　KAV32

　　KAVDX

　　KAVStart

　　KISLnchr

　　KMailMon

　　KMFilter

　　KPFW32

　　KPFW32X

　　KPFWSvc

　　KWatch9x

　　KWatch

　　KWatchX

　　TrojanDetector

　　UpLive.EXE

　　KVSrvXP

　　KvDetect

　　KRegEx

　　Kvol

　　Kvolself

　　Kvupload

　　Kvwsc

　　UIHost

　　IceSword

　　iparmo

　　mmsk

　　adam

　　MagicSet

　　PFWLiveUpdate

　　SREng

　　WoptiClean

　　scan32

　　QHSET

　　zxsweep.

　　AvMonitor

　　UmxCfg

　　UmxFwHlp

　　UmxPol

　　UmxAgent

　　UmxAttachment

　　KPFW32

　　KPFW32X

　　KvXP_1

　　KVMonXP_1

　　KvReport

　　KVScan

　　KVStub

　　KvXP

　　KVMonXP

　　KVCenter

　　TrojDie

　　avp.com.

　　krepair.COM

　　KaScrScn.SCR

　　Trojan

　　Virus

　　kaspersky

　　jiangmin

　　rising

　　ikaka

　　duba

　　kingsoft

　　360safe

　　木马

　　病毒

　　杀毒

　　查毒

　　防毒

　　反病毒

　　专杀

　　卡巴斯基

　　江民

　　瑞星

　　卡卡社区

　　金山毒霸

　　毒霸

　　金山社区

　　360安全

　　恶意软件

　　流氓软件

　　报警

　　杀软

　　防骇

　　微点

　　MSInfo

　　winRAR

　　IceSword

　　HijackThis

　　Killbox

　　Procexp

　　Magicset

　　EQSysSecureProSecurity

　　Yahoo!

　　Google

　　Baidu

　　P4P

　　Sogou PXP

　　Ardsys

　　超级兔子木马

　　KSysFiltsys

　　KSysCallsys

　　KsLoader

　　KvfwMcl

　　autoruns

　　AppSvc32

　　ccSvcHst

　　isPwdSvc

　　symlcsvcnod32kui

　　avgrssvc

　　RfwMain

　　KAVPFW

　　Iparmor

　　nod32krn

　　AVK

　　Zondex

　　Blcorp

　　Tiny Firewall Pro

　　Jetico

　　HAURI

　　Kmx

　　PCClear_Plus

　　Novatix

　　Ashampoo

　　WinPatrol

　　PFW

　　Mmsk

　　The Cleaner

　　Defendio

　　kis6Beheadsreng

　　Trojanwall

　　FTCleanerShell

　　loaddll

　　rfwProxy

　　mcconsol

　　HijackThis

　　Mmqczj

　　RavMon

　　KAVSetup

　　NAVSetup

　　SysSafe

　　hcfg32

　　NOD3

　　5 、破坏注册表安全模式，删除下列注册表项:

　　HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

　　HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\

　　HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

　　HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

　　6、改变注册表值使隐藏文件不可见，达到病毒体隐藏目的:

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

　　Explorer\Advanced\Folder\Hidden\SHOWALL

　　键值 : dword:"CheckedValue"=dword:00000001

　　改为:键值 : dword:"CheckedValue"=dword:00000000

　　7、在注册表的映像劫持中添加多个劫持项，劫持多个杀毒软件、防火墙、病毒查杀工具等相关

　　软件: