“Trojan-Dropper.Win32.Delf.or”的意思、由来-中文百科全书

基本信息

病毒名称： Trojan-Dropper.Win32.Delf.or

中文名称：武汉男生变种

病毒类型：木马类

文件 MD5： DD26CCAD1848DE5663F0B8892EB4DAE5

公开范围：完全公开

危害等级：中等

文件长度： 75,269 字节

感染系统： Win98以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型:　nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]

ASPack 2.x (without poly) -> Alexey Solodovnikov

命名对照：驱逐舰[BackDoor.Pegion.516]

行为分析

1、衍生下列副本与文件

%Windir%\\ tembay.exe

%Windir%\\ly.exe

%Windir%\\my.exe

%Windir%\\wanmei.exe

%Windir%\\wl.exe

%System32%\\1.exe

%System32%\\2.exe

%System32%\\Security.exe

%System32%\\iexpl0re.exe

%System32%\\userspi.dll

%System32%\\wdfmgr32.exe

%System32%\\windhcp.ocx

%System32%\\winlogin.exe

%System32%\\wsvbs.dll

%System32%\\twunk32.exe

%System32%\\dirvers\\ usbme.sys

%System32%\\dirvers\\ spoclsv.exe

%ProgramFiles%\\ Desktop_.ini

2、新建注册表键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\policies\\Explorer\\Run\\twin 键值: 字符串: "%WINDIR%

\\system32\\twunk32.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\Run\\2ls1essru 键值: 字符串: "%WINDIR%\\iexpiore.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\Run\\wsvbs 键值: 字符串: "%WINDIR%\\wanmei.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Run\\svcshare

键值: 字符串: "%WINDIR%\\system32\\drivers\\spoclsv.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Run\\SymhMy

键值: 字符串: "%WINDIR%\\system32\\iexpl0re.exe"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ServerAC

\\Description

键值: 字符串: "给予本地帐户高级保护机制。"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ServerAC

\\DisplayName

键值: 字符串: "Server Advance"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ServerAC

\\ImagePath

键值: 类型: REG_EXPAND_SZ 长度: 33 (0x21) 字节

%WINDIR%\\system32\\Security.exe

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WinDHCPsvc

\\Description 键值: 字符串: "为远程计算机注册并更新 IP 地址。"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WinDHCPsvc

\\DisplayName 键值: 字符串: "Windows DHCP Service"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WinDHCPsvc

\\ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 52 (0x34) 字节

%WINDIR%\\system32\\\\rundll32.exe windhcp.ocx

3、连接某服务器地址获得要下载的病毒体地址：

(58.215.79.164)

(58.215.79.64)

GET /update/wormcn.txt

User-Agent: QQ

Host

wormcn.txt内容：

cq.exe

ly.exe

my.exe

rx.exe

wl.exe

wow.exe

zt.exe

wanmei.exe

dj.exe

kr/itembay.exe

4、插入线程：

windhcp.ocx 到 explorer.exe进程

userspi.dll 到 explorer.exe进程

wsvbs.dll 到 explorer.exe进程

注：% System%是一个：可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

spoclsv.exe

iexpl0re.exe

(2) 使用安天木马防线禁用下列服务：

Server Advance

(3) 找到下列注册表键值：

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WinDHCPsvc

ImagePath： %WINDdir\\system32\\\\rundll32.exe windhcp.ocx,start

修改为:

ImagePath： %WINDdir\\system32\\\\rundll32.exe

(4) 删除下列文件

%Windir%\\ tembay.exe

%Windir%\\ly.exe

%Windir%\\my.exe

%Windir%\\wanmei.exe

%Windir%\\wl.exe

%System32%\\1.exe

%System32%\\2.exe

%System32%\\Security.exe

%System32%\\iexpl0re.exe

%System32%\\userspi.dll

%System32%\\wdfmgr32.exe

%System32%\\windhcp.ocx

%System32%\\winlogin.exe

%System32%\\wsvbs.dll

%System32%\\twunk32.exe

%System32%\\dirvers\\ usbme.sys

%System32%\\dirvers\\ spoclsv.exe

%ProgramFiles%\\ Desktop_.ini

(5) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\policies\\Explorer\\Run\\twin 键值: 字符串: "%WINDIR%\\system32\\twunk32.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

\\2ls1essru 键值: 字符串: "%WINDIR%\\iexpiore.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

\\wsvbs 键值: 字符串: "%WINDIR%\\wanmei.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

\\svcshare 键值: 字符串: "%WINDIR%\\system32\\drivers\\spoclsv.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

\\SymhMy 键值: 字符串: "%WINDIR%\\system32\\iexpl0re.exe"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ServerAC

注：病毒可能会导致用户多次重启，用户可尽快尝试删除注册表自动运行项。一段时间后即可按正常步骤删除病毒文件。

词条	Trojan-Dropper.Win32.Delf.or
释义	该病毒运行后，病毒衍生文件到系统目录下，连接某服务器获得要下载病毒的地址到本机运行。添加注册表自动运行项与服务项以随机引导病毒体。该病毒主要为盗取用户游戏账号为主。包括征途、传奇、QQ、热血江湖等。基本信息行为分析清除方案基本信息病毒名称： Trojan-Dropper.Win32.Delf.or 中文名称：武汉男生变种病毒类型：木马类文件 MD5： DD26CCAD1848DE5663F0B8892EB4DAE5 公开范围：完全公开危害等级：中等文件长度： 75,269 字节感染系统： Win98以上系统开发工具： Borland Delphi 6.0 - 7.0 加壳类型:　nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay] ASPack 2.x (without poly) -> Alexey Solodovnikov 命名对照：驱逐舰[BackDoor.Pegion.516] 行为分析 1、衍生下列副本与文件 %Windir%\\ tembay.exe %Windir%\\ly.exe %Windir%\\my.exe %Windir%\\wanmei.exe %Windir%\\wl.exe %System32%\\1.exe %System32%\\2.exe %System32%\\Security.exe %System32%\\iexpl0re.exe %System32%\\userspi.dll %System32%\\wdfmgr32.exe %System32%\\windhcp.ocx %System32%\\winlogin.exe %System32%\\wsvbs.dll %System32%\\twunk32.exe %System32%\\dirvers\\ usbme.sys %System32%\\dirvers\\ spoclsv.exe %ProgramFiles%\\ Desktop_.ini 2、新建注册表键值： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run\\twin 键值: 字符串: "%WINDIR% \\system32\\twunk32.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Run\\2ls1essru 键值: 字符串: "%WINDIR%\\iexpiore.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Run\\wsvbs 键值: 字符串: "%WINDIR%\\wanmei.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion \\Run\\svcshare 键值: 字符串: "%WINDIR%\\system32\\drivers\\spoclsv.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion \\Run\\SymhMy 键值: 字符串: "%WINDIR%\\system32\\iexpl0re.exe" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ServerAC \\Description 键值: 字符串: "给予本地帐户高级保护机制。" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ServerAC \\DisplayName 键值: 字符串: "Server Advance" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ServerAC \\ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 33 (0x21) 字节 %WINDIR%\\system32\\Security.exe HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WinDHCPsvc \\Description 键值: 字符串: "为远程计算机注册并更新 IP 地址。" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WinDHCPsvc \\DisplayName 键值: 字符串: "Windows DHCP Service" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WinDHCPsvc \\ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 52 (0x34) 字节 %WINDIR%\\system32\\\\rundll32.exe windhcp.ocx 3、连接某服务器地址获得要下载的病毒体地址： (58.215.79.164) (58.215.79.64) GET /update/wormcn.txt User-Agent: QQ Host wormcn.txt内容： cq.exe ly.exe my.exe rx.exe wl.exe wow.exe zt.exe wanmei.exe dj.exe kr/itembay.exe 4、插入线程： windhcp.ocx 到 explorer.exe进程 userspi.dll 到 explorer.exe进程 wsvbs.dll 到 explorer.exe进程注：% System%是一个：可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案 1、使用安天木马防线可彻底清除此病毒(推荐) 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 spoclsv.exe iexpl0re.exe (2) 使用安天木马防线禁用下列服务： Server Advance (3) 找到下列注册表键值： HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WinDHCPsvc ImagePath： %WINDdir\\system32\\\\rundll32.exe windhcp.ocx,start 修改为: ImagePath： %WINDdir\\system32\\\\rundll32.exe (4) 删除下列文件 %Windir%\\ tembay.exe %Windir%\\ly.exe %Windir%\\my.exe %Windir%\\wanmei.exe %Windir%\\wl.exe %System32%\\1.exe %System32%\\2.exe %System32%\\Security.exe %System32%\\iexpl0re.exe %System32%\\userspi.dll %System32%\\wdfmgr32.exe %System32%\\windhcp.ocx %System32%\\winlogin.exe %System32%\\wsvbs.dll %System32%\\twunk32.exe %System32%\\dirvers\\ usbme.sys %System32%\\dirvers\\ spoclsv.exe %ProgramFiles%\\ Desktop_.ini (5) 恢复病毒修改的注册表项目，删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run\\twin 键值: 字符串: "%WINDIR%\\system32\\twunk32.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run \\2ls1essru 键值: 字符串: "%WINDIR%\\iexpiore.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run \\wsvbs 键值: 字符串: "%WINDIR%\\wanmei.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run \\svcshare 键值: 字符串: "%WINDIR%\\system32\\drivers\\spoclsv.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run \\SymhMy 键值: 字符串: "%WINDIR%\\system32\\iexpl0re.exe" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ServerAC 注：病毒可能会导致用户多次重启，用户可尽快尝试删除注册表自动运行项。一段时间后即可按正常步骤删除病毒文件。
随便看	魅力人像DSLR人像摄影技巧魅力上海之夜夜总会魅力师娘魅力术时尚论坛魅力丝巾：—史上最潮时尚系法158例魅力丝巾魔法魅力四射魅力四射3 魅力四射的数码单反摄影技巧魅力天堂魅力万科城魅力网络营销策划魅力文言文魅力无限冷血公主vs冰山王子魅力无限:魅力女孩礼仪指南魅力武术健身中心魅力西安魅力西安网魅力先生魅力湘西魅力湘西大剧院魅力校园魅力新搭档魅力心态魅力星座智慧书之双子座