特洛伊病毒Win32.TalpalkFamily

病毒名称：特洛伊病毒Win32.Talpalk Family

其它名称：PWS-Banker.gen.i (McAfee) , Infostealer (Symantec), Win32/Talpalk!generic, Trojan-Spy.Win32.Delf.iu (Kaspersky), Backdoor:Win32/Hupigon!1452 (MS OneCare)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

具体介绍：

病毒特性：

Win32/Talpalk是一族盗窃敏感信息的特洛伊病毒。

感染方式：

运行时，Talpalk复制到%Windows%目录，不同的变体使用的文件名不同，有些变体使用以下文件名：

FILENAME.EXE

MAYA.EXE

testy.exe

rundll23.exe

Talpalk会修改注册表，以确保在每次系统启动时运行病毒，例如：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Maya = "%Windows%maya.exe"

Talpalk还可能修改以下注册表：

HKLMSOFTWAREMicrosoftWindowswinkthink =

"SOFTWAREMicrosoftWindowsCurrentVersionRun"

HKLMSOFTWAREMicrosoftWindowsyobitch = "Maya"

HKLMSOFTWAREMicrosoftActive SetupInstalled Components

MayaStubPath = "%Windows%maya.exe"

Talpalk变体还会在%Windows%目录生成一个DLL文件。

注：'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:Winnt; 95,98 和 ME 的是C:Windows; XP 的是C:Windows。

危害：

修改系统设置

Talpalk通过修改注册表改变很多系统设置：

使Windows XP SP2 以后版本的Windows Firewall失效：

HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters

FirewallPolicyStandardProfileEnableFirewall=0x0

使Windows XP SP2 以后版本的Firewall Notifications失效：

HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters

FirewallPolicyStandardProfileDisableNotifications =0x1

使AutoComplete失效：

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer

AutoCompleteAutoSuggest=”NO”

HKCUSoftwareMicrosoftInternet ExplorerMainUse FormSuggest="no”

HKCUSoftwareMicrosoftInternet ExplorerMainFormSuggest PW Ask="no

使Yahoo Pager 密码保存和Yahoo Pager 自动登陆失效：

HKCUSoftwareYahooPagerSave Password=0x0

HKCUSoftwareYahooPagerAuto Login=0x0

Disables storage of credentials or .NET Passports for network authentication

HKLMSYSTEMCurrentControlSetControlLsadisabledomaincreds=0x1

Disables saved passwords associated with Network Connection phone book entries

HKLMSYSTEMCurrentControlSetServicesRasManParameters

DisableSavePassword=1

Talpalk 还会删除以下键值：

HKCUSoftwareMirabilisICQNewOwners

HKLMSoftwareMirabilisICQNewOwners

HKCUSoftwarePalTalk

HKCUSoftwareMicrosoftIdentityCRL

删除文件

Talpalk删除以下文件和/或目录：

configSteamAppData.vdf

指以下键值:

HKEY_LOCAL_MACHINESOFTWAREValveSteamInstallPath.

删除存储与“Steam”游戏相关的帐户的文件。

在以下目录中的所有文件和目录 C:My RoboForm Data (利用RoboForm 保存密码)

在目录下的所有文件和目录。

这里的 指以下键值：

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer

Shell FoldersCookies

Mozilla 和 Opera

这里的 指以下键值：

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer

Shell FoldersAppData

盗窃敏感信息

Talpalk安装一个系统hoook来监控键盘和鼠标的输入，为了盗窃敏感信息。它监控MSN Messenger和窗口标题包含以下字符串的软件：

.NET Messenger

Anmelden

Anonygold.com

ANZ Internet Banking

AOL.com

Bank of America

Bank one

BankCard

BankWest Online banking

Barclays IBank

bendigobank.com.au - bendigo e-banking

Capital One Online

Chase.com

Chevy Chase Bank

Citibank

e-gold Account

Electronic Money Orders

Gawab.com , Users

HSBC Bank

HYIP Lister

ib.national.com.au - Welcome

iKobo Money Transfer

ING Direct

INT Gold

internetbanking.suncorpmetway.com.au -

Jack henry & Associates

Key Bank

Login

Login - Steam

Login to Paltalk

moneybookers.com

moneybookers.com - and money moves

MoneyMakerGroup

NatWest

NetBank

On-line Dealing Site

Online Account Access Login

Online Service

PayPal

Pecunix

Please Sign In

PNC Bank

RBC

Reality Cycler

Register for Online Access

Rietumu banka

Safe-mail.net

Screen Name Sign In

SFIpay

Sign In

Sign On

St.George Internet Banking Logon

The Universal Payment System

U.S. Bank

V-Money

Wachovia

Walla! - free 1G

Welcome to Gmail

Welcome to paltalk

Wells Fargo

Westpac online - Sign In

WorldPay

www2.netbank.commbank.com.au - Logon

XEtrade - Log in Page

Yahoo! Mail - The Best

Talpalk将记录的信息保存到 %Windows%mpdb.dat ，并将它发送到一个特定的URL，发送成功后删除 %Windows%mpdb.dat 文件。

其它信息

Talpalk 运行时生成一个临时文件c:ali.html。

清除：

KILL安全胄甲最新版本可检测/清除此病毒。