| 词条 | Trojan-Downloader.Win32.Delf.bho |
| 释义 | Trojan-Downloader.Win32.Delf.bho是一种病毒。该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随系统引导病毒体。病毒体自动连接某服务器下载病毒体到本机运行,下载的病毒体主要为网络游戏盗号程序,并扫描本机 IP所属的网段139端口,试图利用网络共享传播自身。值得注意的是,此病毒大量存在于利用最近的微软的ANI漏洞构造的图片与脚本中。 基本信息Trojan-Downloader.Win32.Delf.bho 中文名称: 下载者变种 病毒类型: 木马类 文件 MD5: 54416CD0214109236F61339C138BA5B2 公开范围: 完全公开 危害等级: 4 文件长度: 加壳后 16,602 字节,脱壳后113,152 字节 感染系统: Win9X以上系统 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: Upack 0.3.9 beta2s -> Dwing 命名对照: BitDefender [Generic.Malware.WBdld.2BFD9495] 行为分析衍生下列副本与文件 %WinDir%\\cmdbcs.exe Trojan-PSW.Win32.OnLineGames.es %WinDir%\\mppds.exe Trojan-PSW.Win32.OnLineGames.lz %WinDir%\\msccrt.exe Trojan-PSW.Win32.OnLineGames.es %WinDir%\\shualai.exe Trojan-PSW.Win32.OnLineGames.es %WinDir%\\winform.exe Trojan-PSW.Win32.OnLineGames.lc %System32%\\8.exe Trojan-Dropper.Win32.Agent.bcv %System32%\\cmdbcs.dll Trojan-PSW.Win32.OnLineGames.es %System32%\\msccrt.dll Trojan-PSW.Win32.OnLineGames.es %System32%\\servet.exe Trojan-Downloader.Win32.Delf.bho %System32%\\shualai.dll Trojan-PSW.Win32.OnLineGames.lz %System32%\\winform.dll Trojan-PSW.Win32.OnLineGames.lz %ProgramFiles%\\Internet Explorer\\MoWang.sys %ProgramFiles%\\Internet Explorer\\MoWang.tdm 新建注册表键值 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Policies\\Explorer\\run\\wm Value: String: "%WINDIR%|Syswm6\\svchost.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\svc Value: String: "C:\\DOCUME~1\\antiy\\LOCALS~1\\Temp\\ie777.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\cmdbcs Value: String: "%WINDIR%|cmdbcs.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\mppds Value: String: "%WINDIR%|mppds.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\msccrt Value: String: "%WINDIR%|msccrt.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\shualai Value: String: "%WINDIR%|shualai.exe /i" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\upxdndq Value: String: "C:\\DOCUME~1\\antiy\\LOCALS~1\\Temp\\upxdndq.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\winform Value: String: "%WINDIR%|winform.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ ShellExecuteHooks\\{ DD7D4640-4464-48C0-82FD-21338366D2D2 } Value: String: "" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { DD7D4640-4464-48C0-82FD-21338366D2D2 }\\InProcServer32\\@ Value: String: "C:\\Program Files\\Internet Explorer\\MoWang.tdm" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WindowsDown\\Description Value: String: "Windows XP" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WindowsDown\\DisplayName Value: String: "Windows XP" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WindowsDown\\ImagePath Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes %WINDIR%|System32\\servet.exe. 修改下列注册表键值 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\PF\\DisplayName New: String: "Netgroup Packet Filter" Old: String: "NetGroup Packet Filter Driver" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\PF\\DisplayName New: String: "Netgroup Packet Filter" Old: String: "NetGroup Packet Filter Driver" 从下列服务器下载文件到本机运行 Host: [url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3 *) /down1/1.exe Host: [url=http://www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe]www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe Host: [url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3 *) /houtai/kehu94/logo.Gif Host: [url=http://www.h*o1*3.com(61.1*5.1*3.5*) 5 、收集用户的 MAC 地址信息发送到下列 ASP 页面: [url=http://www.1*d*m.com/houtai/kehu94/count/count.asp]http://www.1*d*m.com/houtai/kehu94/count/count.asp 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案1.使用杀毒软件使用安天木马防线等杀毒软件可彻底清除此病毒 2.手工清除手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用 安天木马防线 “进程管理”关闭病毒进程: IEXPLORER.EXE (2) 删除并恢复病毒添加与修改的注册表键值: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Policies\\Explorer\\run\\wm Value: String: "%WINDIR%|Syswm6\\svchost.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run\\svc Value: String: "C:\\DOCUME~1\\antiy\\LOCALS~1\\Temp\\ie777.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\cmdbcs Value: String: "%WINDIR%|cmdbcs.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\mppds Value: String: "%WINDIR%|mppds.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\msccrt Value: String: "%WINDIR%|msccrt.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\shualai Value: String: "%WINDIR%|shualai.exe /i" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\upxdndq Value: String: "C:\\DOCUME~1\\antiy\\LOCALS~1\\Temp\\upxdndq.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\winform Value: String: "%WINDIR%|winform.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Exporer\\ShellExecuteHooks\\ { DD7D4640-4464-48C0-82FD-21338366D2D2 } Value: String: "" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { DD7D4640-4464-48C0-82FD-21338366D2D2 }\\InProcServer32\\@ Value: String: "C:\\Program Files\\InternetExplorer\\MoWang.tdm" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ WindowsDown\\Description Value: String: "Windows XP" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ WindowsDown\\DisplayName Value: String: "Windows XP" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ WindowsDown\\ImagePath Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes %WINDIR%|System32\\servet.exe. (3) 删除病毒释放文件: %WinDir%\\cmdbcs.exe %WinDir%\\mppds.exe %WinDir%\\msccrt.exe %WinDir%\\shualai.exe %WinDir%\\winform.exe %System32%\\8.exe %System32%\\cmdbcs.dll %System32%\\mppds.dll %System32%\\msccrt.dll %System32%\\servet.exe %System32%\\shualai.dll %System32%\\winform.dll %ProgramFiles%\\Internet Explorer\\MoWang.sys %ProgramFiles%\\Internet Explorer\\MoWang.tdm |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。