病毒名称：Trojan-Downloader.Win32.Delf.bnc （Kaspersky）

病毒大小：24387 bytes

加壳方式：Upack

样本MD5：ea449fb9fa0912cc96a.ede1ec5842cad

样本SHA1：051c98415dd3d04eff3cb16f2415e4f7b25ad74f

编写语言：Borland Delphi 6.0-7.0

字串8

行为分析：

字串5

病毒运行后，创建.副本到：

%System32%\\wnipsvr.exe

并释放：

%System32%\\perefic.ini

记录病毒的版本信息 ，这个样本是11212 字串1

创建服务：

[HKLM\\System\\CurrentControlSet\\Services\\11111]

显示名：11111

描述：允许对T1BT名称解析的支持

可执行文件的路径：%System32%\\wnipsvr.exe 字串6

病毒会在各分区根目录.复制副本，创建autorun.inf实现自动播放时运行病毒的动作：

X:\\autorun.inf

X:\\Hide.exe

autorun内容：

[autorun]

open=Hide.exe

字串6

调用IE，连接网络下载其它病毒：

先下载http://www.ndnd.info/ad.txt

保存为：%ProgramFiles%\\ini.ini

里面记录的是病毒版本信息，这个样本是11212

下载：

http://xz.88889999.info/1.exe

http://xz.88889999.info/2.exe

http://xz.88889999.info/3.exe

http://xz.88889999.info/4.exe

http://xz.88889999.info/5.exe

http://xz.88889999.info/6.exe

http://xz.88889999.info/7.exe

http://xz.88889999.info/8.exe

http://xz.88889999.info/9.exe

http://xz.88889999.info/10.exe

http://xz.88889999.info/11.exe

http://xz.8888.9999.info/12.exe

http://xz.88889999.info/13.exe

http://xz.88889999.info/14.exe

http://xz.88889999.info/15.exe

http://xz.88889999.info/16.exe

http://xz.88889999.info/17.exe

http://xz.88889999.info/18.exe

http://xz.88889999.info/19.exe

http://xz.88889999.info/20.exe

保存为：

%ProgramFiles%\\pro1.exe

%ProgramFiles%\\pro2.exe

%ProgramFiles%\\pro3.exe

字串9

%ProgramFiles%\\pro4.exe

%ProgramFiles%\\pro5.exe

%ProgramFiles%\\pro6.exe

%ProgramFiles%\\pro7.exe

%ProgramFiles%\\pro8.exe

%ProgramFiles%\\pro9.exe

%ProgramFiles%\\pro10.exe

%ProgramFiles%\\pro11.exe

%ProgramFiles%\\pro12.exe

%ProgramFiles%\\pro13.exe

%ProgramFiles%\\pro14.exe

%ProgramFiles%\\pro15.exe

%ProgramFiles%\\pro16.exe

%ProgramFile.s%\\pro17.exe

%ProgramFiles%\\pro18.exe

%ProgramFiles%\\pro19.exe

%ProgramFiles%\\pro20.exe

调用cmd命令运行

下载的多是onlinegame一类盗号的和spy,delf类的病毒

字串5

调用cmd命令删除%ProgramFiles%\\ini.ini 字串6

病毒还会尝试关闭相关安全进程和相关窗体：

RavMon.exe

kvsrvxp.exe

kavstart.exe