请输入您要查询的百科知识:

 

词条 Trojan-Downloader.Win32.Delf.aex
释义

病毒名称: Trojan-Downloader.Win32.Delf.aex病毒类型: 木马 文件 MD5: BA3A40ABA17FB03D8979879CF606E1D4感染系统: Windows98以上版本

病毒概述

病毒名称:Trojan-Downloader.Win32.Delf.aex

病毒类型:木马

公开范围:完全公开

危害等级:中

文件长度:18,845 字节

开发工具

Microsoft Visual C++ 5.0 - 6.0

加壳类型: FSG 2.0

命名对照

Symentec[Downloader.Trojan]

Mcafee[无]

病毒描述

该病毒属木马类。病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件,修改注册表,添加启动项,以达到随机启动的目的,连接网络,开启本地端口,下载病毒文件,修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息,终止反病毒软件的进程,阻止杀毒软件的安装。该病毒对用户有较大危害。

行为分析:

1、病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。

2、病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件:

%WINDIR%\iw.exe

%system32%\\impai.exe

3、修改注册表,添加启动项,以达到随机启动的目的:

修改的注册表项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile

\\shell\\open\\command

原键值:字串:"默认"="%SystemRoot%\\system32

\OTEPAD.EXE %1."

修改的键值:字串:"默认"="C:\\WINDOWS\\system32

\\impai.exe "%1""

新建注册表项:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值: 字串: "NIW "="C:\\WINDOWS\IW.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run

键值: 字串: "Desktop"="C:\\WINDOWS\\system32

\\rundll32.exe"

"C:\\Program Files\\DeskAdTop\\Run.dll" ,Rundll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{08A312BB-5409-49FC-9347-54BB7D069AC6}\\

键值: 字串: "默认"="MonitorURL Class"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{08A312BB-5409-49FC-9347

54BB7D069AC6}\\InprocServer32\\

键值: 字串: "默认"="C:\\PROGRA~1\\DESKAD~1

\\deskipn.dll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{08A312BB-5409-49FC-9347-54BB7D069AC6}\\InprocServer32\\

键值: 字串: "ThreadingModel "="Apartment"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{08A312BB-5409-49FC-9347-54BB7D069AC6}\\ProgID

键值: 字串: "默认"="MonitorIE.MonitorURL.1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{08A312BB-5409-49FC-9347

54BB7D069AC6}\\VersionIndependentProgID

键值: 字串: "默认"="MonitorIE.MonitorURL"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE.

MonitorURL.1

键值: 字串: "默认"="MonitorURL Class"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE.

MonitorURL.1\\CLSID

键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE.MonitorURL

键值: 字串: "默认"="MonitorURL Class"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE.

MonitorURL\\CLSID

键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE.

MonitorURL\\CurVer

键值: 字串: "默认"="MonitorIE.MonitorURL.1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\TypeLib\\

{647BB013-E900-473E-BC10-99CF3AC365AD}\\1.0\\0\\win32

键值: 字串: "默认"="C:\\Program Files\\DeskAdTop\\deskipn.dll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\TypeLib\\

{647BB013-E900-473E-BC10-99CF3AC365AD}\\1.0

键值: 字串: "默认"="MonitorIE 1.0 Type Library"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\TypeLib\\

{647BB013-E900-473E-BC10-99CF3AC365AD}\\1.0\\

键值: 字串: "HELPDIR"="C:\\Program Files\\DeskAdTop\\"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\

键值: 字串: "DownloadManager"="C:\\WINDOWS\\system32

\\rundll32.exe"C:\\Program Files\\DeskAdTop\\Run.dll" ,Rundll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Uninstall\\桌面媒体

键值: 字串: " DisplayName "="桌面媒体"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Uninstall\\桌面媒体

键值: 字串: "SetupPath"="C:\\Program Files\\DeskAdTop\\"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Uninstall\\桌面媒体

键值: 字串: "UninstallString"="C:\\Program Files\\DeskAdTop\\DeskUn.exe"

4、连接网络,开启本地端口,下载病毒文件:

协议:TCP

端口:随机开启本地1024以上端口,如:1124

IP地址:210.51.168.69

下载的病毒文件:

%system32%\\tmdown.exe

%system32%\\tmdown1.exe

%Program Files%\\deskadtop\\_uninstall

%Program Files%\\deskadtop\\allverx.dat

%Program Files%\\deskadtop\\deskipn.dll

%Program Files%\\deskadtop\\DeskUn.exe

%Program Files%\\deskadtop\\Mrup.exe

%Program Files%\\deskadtop\\Run.dll

%Program Files%\\deskadtop\\sinfo.ini

5、修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息:

QQ尾巴内容为:

咱们老同学的校友录有新留言了,你看看吧!

http://www.0451m***.com/img/chianren.htm

6、终止反病毒软件的进程,阻止杀毒软件的安装。

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%WINDIR%\iw.exe

%system32%\\impai.exe

%system32%\\tmdown.exe

%system32%\\tmdown1.exe

%Program Files%\\deskadtop\\_uninstall

%Program Files%\\deskadtop\\allverx.dat

%Program Files%\\deskadtop\\deskipn.dll

%Program Files%\\deskadtop\\DeskUn.exe

%Program Files%\\deskadtop\\Mrup.exe

%Program Files%\\deskadtop\\Run.dll

%Program Files%\\deskadtop\\sinfo.ini

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

修改注册表项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile

\\shell\\open\\command

键值:字串:"默认"="C:\\WINDOWS\\system32

\\impai.exe "%1""

改为:

键值:字串:"默认"="%SystemRoot%\\system32

\OTEPAD.EXE %1."

删除以下注册表项:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值: 字串: "NIW "="C:\\WINDOWS\IW.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run

键值: 字串: "Desktop"="C:\\WINDOWS\\system32

\\rundll32.exe"C:\\Program Files\\DeskAdTop\\Run.dll" ,Rundll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{08A312BB-5409-49FC-9347-54BB7D069AC6}\\

键值: 字串: "默认"="MonitorURL Class"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{08A312BB-5409-49FC-9347-54BB7D069AC6}\\InprocServer32\\

键值: 字串: "默认"="C:\\PROGRA~1\\DESKAD~1\\deskipn.dll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{08A312BB-5409-49FC-9347-54BB7D069AC6}\\InprocServer32\\

键值: 字串: "ThreadingModel "="Apartment"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{08A312BB-5409-49FC-9347-54BB7D069AC6}\\ProgID

键值: 字串: "默认"="MonitorIE.MonitorURL.1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{08A312BB-5409-49FC-9347-54BB7D069AC6}\\VersionIndependentProgID

键值: 字串: "默认"="MonitorIE.MonitorURL"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE.

MonitorURL.1

键值: 字串: "默认"="MonitorURL Class"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE.

MonitorURL.1\\CLSID

键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE.MonitorURL

键值: 字串: "默认"="MonitorURL Class"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE.

MonitorURL\\CLSID

键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\MonitorIE

.MonitorURL\\CurVer

键值: 字串: "默认"="MonitorIE.MonitorURL.1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\TypeLib\\

{647BB013-E900-473E-BC10-99CF3AC365AD}\\1.0\\0\\win32

键值: 字串: "默认"="C:\\Program Files\\DeskAdTop\\deskipn.dll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\TypeLib

\\{647BB013-E900-473E-BC10-99CF3AC365AD}\\1.0

键值: 字串: "默认"="MonitorIE 1.0 Type Library"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\TypeLib\\

{647BB013-E900-473E-BC10-99CF3AC365AD}\\1.0\\

键值: 字串: "HELPDIR"="C:\\Program Files\\DeskAdTop\\"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\

键值: 字串: "DownloadManager"="C:\\WINDOWS\\system32

\\rundll32.exe"C:\\Program Files\\DeskAdTop\\Run.dll" ,Rundll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Window

s\\CurrentVersion\\Uninstall\\桌面媒体

键值: 字串: " DisplayName "="桌面媒体"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Uninstall\\桌面媒体

键值: 字串: "SetupPath"="C:\\Program Files\\DeskAdTop\\"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Uninstall\\桌面媒体

键值: 字串: "UninstallString"="C:\\Program Files

\\DeskAdTop\\DeskUn.exe"
随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/27 10:17:06