特洛伊病毒Win32.TalpalkFamily
病毒名称:特洛伊病毒Win32.Talpalk Family
其它名称:PWS-Banker.gen.i (McAfee) , Infostealer (Symantec), Win32/Talpalk!generic, Trojan-Spy.Win32.Delf.iu (Kaspersky), Backdoor:Win32/Hupigon!1452 (MS OneCare)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Talpalk是一族盗窃敏感信息的特洛伊病毒。
感染方式:
运行时,Talpalk复制到%Windows%目录,不同的变体使用的文件名不同,有些变体使用以下文件名:
FILENAME.EXE
MAYA.EXE
testy.exe
rundll23.exe
Talpalk会修改注册表,以确保在每次系统启动时运行病毒,例如:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Maya = "%Windows%maya.exe"
Talpalk还可能修改以下注册表:
HKLMSOFTWAREMicrosoftWindowswinkthink =
"SOFTWAREMicrosoftWindowsCurrentVersionRun"
HKLMSOFTWAREMicrosoftWindowsyobitch = "Maya"
HKLMSOFTWAREMicrosoftActive SetupInstalled Components
MayaStubPath = "%Windows%maya.exe"
Talpalk变体还会在%Windows%目录生成一个DLL文件。
注:'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:Winnt; 95,98 和 ME 的是C:Windows; XP 的是C:Windows。
危害:
修改系统设置
Talpalk通过修改注册表改变很多系统设置:
使Windows XP SP2 以后版本的Windows Firewall失效:
HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileEnableFirewall=0x0
使Windows XP SP2 以后版本的Firewall Notifications失效:
HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileDisableNotifications =0x1
使AutoComplete失效:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer
AutoCompleteAutoSuggest=”NO”
HKCUSoftwareMicrosoftInternet ExplorerMainUse FormSuggest="no”
HKCUSoftwareMicrosoftInternet ExplorerMainFormSuggest PW Ask="no
使Yahoo Pager 密码保存和Yahoo Pager 自动登陆失效:
HKCUSoftwareYahooPagerSave Password=0x0
HKCUSoftwareYahooPagerAuto Login=0x0
Disables storage of credentials or .NET Passports for network authentication
HKLMSYSTEMCurrentControlSetControlLsadisabledomaincreds=0x1
Disables saved passwords associated with Network Connection phone book entries
HKLMSYSTEMCurrentControlSetServicesRasManParameters
DisableSavePassword=1
Talpalk 还会删除以下键值:
HKCUSoftwareMirabilisICQNewOwners
HKLMSoftwareMirabilisICQNewOwners
HKCUSoftwarePalTalk
HKCUSoftwareMicrosoftIdentityCRL
删除文件
Talpalk删除以下文件和/或目录:
configSteamAppData.vdf
指以下键值:
HKEY_LOCAL_MACHINESOFTWAREValveSteamInstallPath.
删除存储与“Steam”游戏相关的帐户的文件。
在以下目录中的所有文件和目录 C:My RoboForm Data (利用RoboForm 保存密码)
在目录下的所有文件和目录。
这里的 指以下键值:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer
Shell FoldersCookies
Mozilla 和 Opera
这里的 指以下键值:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer
Shell FoldersAppData
盗窃敏感信息
Talpalk安装一个系统hoook来监控键盘和鼠标的输入,为了盗窃敏感信息。它监控MSN Messenger和窗口标题包含以下字符串的软件:
.NET Messenger
Anmelden
Anonygold.com
ANZ Internet Banking
AOL.com
Bank of America
Bank one
BankCard
BankWest Online banking
Barclays IBank
bendigobank.com.au - bendigo e-banking
Capital One Online
Chase.com
Chevy Chase Bank
Citibank
e-gold Account
Electronic Money Orders
Gawab.com , Users
HSBC Bank
HYIP Lister
ib.national.com.au - Welcome
iKobo Money Transfer
ING Direct
INT Gold
internetbanking.suncorpmetway.com.au -
Jack henry & Associates
Key Bank
Login
Login - Steam
Login to Paltalk
moneybookers.com
moneybookers.com - and money moves
MoneyMakerGroup
NatWest
NetBank
On-line Dealing Site
Online Account Access Login
Online Service
PayPal
Pecunix
Please Sign In
PNC Bank
RBC
Reality Cycler
Register for Online Access
Rietumu banka
Safe-mail.net
Screen Name Sign In
SFIpay
Sign In
Sign On
St.George Internet Banking Logon
The Universal Payment System
U.S. Bank
V-Money
Wachovia
Walla! - free 1G
Welcome to Gmail
Welcome to paltalk
Wells Fargo
Westpac online - Sign In
WorldPay
www2.netbank.commbank.com.au - Logon
XEtrade - Log in Page
Yahoo! Mail - The Best
Talpalk将记录的信息保存到 %Windows%mpdb.dat ,并将它发送到一个特定的URL,发送成功后删除 %Windows%mpdb.dat 文件。
其它信息
Talpalk 运行时生成一个临时文件c:ali.html。
清除:
KILL安全胄甲最新版本可检测/清除此病毒。