| 词条 | Worm.Win32.Delf.by |
| 释义 | 中文名称酷猪 ,该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 病毒自动从某服务器下载大量盗号程序到本机运行,试图截获用户游戏帐号信息发送出去。 使用安天木马防线可彻底清除此病毒 简介病毒名称: Worm.Win32.Delf.by 中文名称: 酷猪 病毒类型: 蠕虫类 文件 MD5: 354861D7F587F1553FBBF6779426EDE8 公开范围: 完全公开 危害等级: 4 文件长度: 加壳后 51,840 字节,脱壳后241,664 字节 感染系统: Win9X以上系统 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: Upack 0.3.9 beta2s -> Dwing 命名对照: NORMAN [Virus W32/Downloader] BitDefender[ BehavesLike:Trojan.Downloader] 病毒描述该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 病毒自动从某服务器下载大量盗号程序到本机运行,试图截获用户游戏帐号信息发送出去。 行为分析1 、衍生下列副本与文件: %WinDir%\\cmdbcs.exe %WinDir%\\Kvsc3.exe %WinDir%\\msccrt.exe %WinDir%\\msppds.exe %WinDir%\\shualai.exe %WinDir%\\winform.exe %System32%\\cmdbcs.dll %System32%\\explorer.exe %System32%\\kupini.dll %System32%\\Kvsc3.dll %System32%\\msccrt.dll %System32%\\msppds.dll %System32%\\shualai.dll %System32%\\winform.dll %\\DOCUME~1%\\ 当前用户名 \\LOCALS~1\\Temp\\upxdnd.exe 2 、新建注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { DD7D4640-4464-48C0-82F D-21338366D2D2 }\\InProcServer32\\@ Value: String: "C:\\Program Files\\Internet Explorer\\MoWang.tdm" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { DD7D4640-4464-48C0-82FD-21338366D2D2 }\\InProcServer32\\ThreadingModel Value: String: "Apartment" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\ ShellExecuteHooks\\{ 42A612A4-4334-4424-4234-42261A31A236 } Value: String: "pdkpri.dll" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ ShellExecuteHooks\\{ DD7D4640-4464-48C0-82FD-21338366D2D2 } Value: String: "" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\cmdbcs Value: String: "WINDIRcmdbcs.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Kvsc3 Value: String: "WINDIRKvsc3.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\msccrt Value: String: "WINDIRmsccrt.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\msppds Value: String: "WINDIRmsppds.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\shualai Value: String: "WINDIRshualai.exe /i" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\upxdnd Value: String: "%\\DOCUME~1%\\ 当前用户名 \\LOCALS~1\\Temp\\upxdnd.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\winform Value: String: "WINDIRwinform.exe" 3 、从下列地址下载病毒体: Host: n*w.h*ck*p.com/down.txt 内容为动态更新的病毒体地址列表 : http://n*w.h*ck*p.com/ma/1.exe http://n*w.h*ck*p.com/ma/2.exe http://n*w.h*ck*p.com/ma/3.exe http://n*w.h*ck*p.com/ma/4.exe http://n*w.h*ck*p.com/ma/6.exe http://n*w.h*ck*p.com/ma/7.exe http://n*w.h*ck*p.com/ma/8.exe http://n*w.h*ck*p.com/ma/Ie.Exe 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线断开网络,结束病毒进程: %WinDir%\\cmdbcs.exe %WinDir%\\Kvsc3.exe %WinDir%\\msccrt.exe %WinDir%\\msppds.exe %WinDir%\\shualai.exe %WinDir%\\winform.exe (2) 删除并恢复病毒添加与修改的注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { DD7D4640-4464-48C 0-82F D-21338366D2D2 }\\ InProcServer32\\@ Value: String: "C:\\Program Files\\InternetExplorer\\ MoWang.tdm" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ { DD7D4640-4464-48C0-82FD-21338366D2D2 }\\ InProcServer32\\ThreadingModel Value: String: "Apartment" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\ShellExecuteHooks\\ { 42A612A4-4334-4424-4234-42261A31A236 } Value: String: "pdkpri.dll" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\ShellExecuteHooks\\ { DD7D4640-4464-48C0-82FD-21338366D2D2 } Value: String: "" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\cmdBcs Value: String: "WINDIRcmdbcs.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\Kvsc3 Value: String: "WINDIRKvsc3.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\mscCrt Value: String: "WINDIRmsccrt.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\mspPds Value: String: "WINDIRmsppds.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\shuAlai Value: String: "WINDIRshualai.exe /i" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\upxDnd Value: String: "%\\DOCUME~1%\\ 当前用户名\\ LOCALS~1\\Temp\\upxdnd.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\winForm Value: String: "WINDIRwinform.exe" (3) 删除病毒释放文件: %WinDir%\\cmdbcs.exe %WinDir%\\Kvsc3.exe %WinDir%\\msccrt.exe %WinDir%\\msppds.exe %WinDir%\\shualai.exe %WinDir%\\winform.exe %System32%\\cmdbcs.dll %System32%\\explorer.exe %System32%\\kupini.dll %System32%\\Kvsc3.dll %System32%\\msccrt.dll %System32%\\msppds.dll %System32%\\shualai.dll %System32%\\winform.dll |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。