感染方式
运行时,Talpalk複製到%Windows%目录,不同的变体使用的档案名称不同,有些变体使用以下档案名称:FILENAME.EXE
MAYA.EXE
testy.exe
rundll23.exe
Talpalk会修改注册表,以确保在每次系统启动时运行病毒,例如:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\Maya = %Windows%\maya.exe
Talpalk还可能修改以下注册表:
HKLM\SOFTWARE\Microsoft\Windows\winkthink =
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\yobitch = Maya
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
\Maya\StubPath = %Windows%\maya.exe
Talpalk变体还会在%Windows%目录生成一个DLL档案。
注:'%Windows %'是一个可变的路径。病毒通过查询作业系统来决定Windows资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
病毒危害
修改系统设定
Talpalk通过修改注册表改变很多系统设定:
使Windows XP SP2 以后版本的Windows Firewall失效:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\EnableFirewall=0x0
使Windows XP SP2 以后版本的Firewall Notifications失效:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\DisableNotifications =0x1
使AutoComplete失效:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
\AutoComplete\AutoSuggest=”NO”
HKCU\Software\Microsoft\Internet Explorer\Main\Use FormSuggest=no”
HKCU\Software\Microsoft\Internet Explorer\Main\FormSuggest PW Ask=no
使Yahoo Pager 密码保存和Yahoo Pager 自动登入失效:
HKCU\Software\Yahoo\Pager\Save Password=0x0
HKCU\Software\Yahoo\Pager\Auto Login=0x0
Disables storage of credentials or .NET Passports for network authentication
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\disabledomaincreds=0x1
Disables saved passwords associated with Network Connection phone book entries
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
\DisableSavePassword=1
Talpalk 还会删除以下键值:
HKCU\Software\Mirabilis\ICQ\NewOwners
HKLM\Software\Mirabilis\ICQ\NewOwners
HKCU\Software\PalTalk
HKCU\Software\Microsoft\IdentityCRL
删除档案
Talpalk删除以下档案和/或目录:
\config\SteamAppData.vdf
指以下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Valve\Steam\InstallPath.
删除存储与“Steam”游戏相关的帐户的档案。
在以下目录中的所有档案和目录 C:\My RoboForm Data (利用RoboForm 保存密码)
在目录下的所有档案和目录。
这里的 指以下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
\Shell Folders\Cookies
\Mozilla 和 \Opera
这里的 指以下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
\Shell Folders\AppData
盗窃敏感信息
Talpalk安装一个系统hoook来监控键盘和滑鼠的输入,为了盗窃敏感信息。它监控MSN Messenger和视窗标题包含以下字元串的软体:
.NET Messenger
Anmelden
Anonygold. com
ANZ Internet Banking
AOL. com
Bank of America
Bank one
BankCard
BankWest Online banking
Barclays IBank
bendigobank. com. au - bendigo e-banking
Capital One Online
Chase. com
Chevy Chase Bank
Citibank
e-gold Account
Electronic Money Orders
Gawab. com , Users
HSBC Bank
HYIP Lister
ib.national. com. au - Welcome
iKobo Money Transfer
ING Direct
INT Gold
internetbanking.suncorpmetway. com. au -
Jack henry & Associates
Key Bank
Login
Login - Steam
Login to Paltalk
moneybookers. com
moneybookers. com - and money moves
MoneyMakerGroup
NatWest
NetBank
On-line Dealing Site
Online Account Access Login
Online Service
PayPal
Pecunix
Please Sign In
PNC Bank
RBC
Reality Cycler
Register for Online Access
Rietumu banka
Safe-mail. net
Screen Name Sign In
SFIpay
Sign In
Sign On
St.George Internet Banking Logon
The Universal Payment System
U.S. Bank
V-Money
Wachovia
Walla! - free 1G
Welcome to Gmail
Welcome to paltalk
Wells Fargo
Westpac online - Sign In
WorldPay
www2.netbank.commbank.com. au - Logon
XEtrade - Log in Page
Yahoo! Mail - The Best
Talpalk将记录的信息保存到 %Windows%\mpdb.dat ,并将它传送到一个特定的URL,传送成功后删除 %Windows%\mpdb.dat 档案。Talpalk 运行时生成一个临时档案c:\ali.html。
清除方式
KILL安全胄甲最新版本可检测/清除此病毒。
