“Backdoor.Win32.Delf.azb”的意思、由来-中文百科全书

病毒名称：Backdoor.Win32.Delf.azb (Kaspersky)

病毒大小：343661 bytes

加壳方式：BINARYRES

样本MD5：ccb23ce816ba0d9ec4d07729bda18481

样本SHA1：cbfba1fc9b4b03ab0675aba013d9108978d491b1

编写语言：Borland Delphi 6.0 - 7.0 字串4

技术分析：

病毒运行后，首先查找AVP.AlertDialog和360SafeMonClass窗口并枚举所有子窗口。尝试关闭360安全卫士监控和卡吧的主动防御窗口，并调用SendMessageA模拟鼠标操作，试图点击窗口出现的“允许”按钮，如果不成功，则模拟“跳过”，否则强制关闭监控窗口。

字串3

释放文件：

%system32%\\adbits.dll

字串3

替换系统正常的BITS服务：

[HKLM\\SYSTEM\\CurrentControlSet\\Services\\BITS\\Parameters\\ServiceDll]

原值：%system32%\\qmgr.dll

改为：%system32%\\adbits.dll

BITS服务简单描述：后台智能传输服务 (BITS)是新版本的 Microsoft Windows Update 和自动更新服务的必需组件。BITS 2.0 可提高文件传输的速度，改进恢复功能并减少网络带宽损耗，支持连线自动启动和断点续传的功能.用闲置网络带宽在后台传输文件。如果此服务被禁用，那么任何依赖于 BITS 的功能，例如 Windows Update 或 MSN Explorer，都将不能自动下载程序和其它信息。

详细的信息请参考：http://msdn2.microsoft.com/en-us/library/aa362827.aspx

字串8

释放批处理删除自身

字串1

对adbits.dll调试还会发现小熊技术论坛远控信息，判断操作系统版本，遍历注册表，判断是否主机，读取日志，记录在LOG文件,利用宿主反弹连接接收远程指令...水平有限，又对服务器不了解，所以还有很多不明白的地方。字串9

手动清除方法：

1，用IS（冰刃）强制删除：

字串6

%system32%\\adbits.dll

字串9

2,改回被修改的注册表值：

[HKLM\\SYSTEM\\CurrentControlSet\\Services\\BITS\\Parameters\\ServiceDll]

%system32%\\adbits.dll

字串6

改为：%system32%\\qmgr.dll

字串3

附上部分IDA代码：

0040425E mov eax, [ebp+var_204]

00404264 mov edx, offset s_Avp_button ; "AVP.Button"

00404269 call sub_4038F0

字串8

00404414 push ebp

00404415 mov ebp, esp

00404417 push 0 ; lpWindowName

00404419 push offset ClassName ; "AVP.Product_Notification"

0040441E call FindWindowA 字串4

0040441E

00404423 test eax, eax

00404425 jz short loc_404439

00404425

00404427 push 0 ; lParam

00404429 push 0F060h ; wParam

0040442E push 112h ; Msg 字串9

00404433 push eax ; hWnd

00404434 call SendMessageA

00404434

00404439

00404439 loc_404439: ; CODE XREF: fptc+11 j

00404439 push 0 ; lpWindowName

字串6

0040443B push offset s_Q360safemoncl ; "Q360SafeMonClass"

00404440 call FindWindowA

00404440

00404445 test eax, eax

00404447 jz short loc_40445B

00404447

00404449 push 0 ; lParam 字串6

0040444B push 0F060h ; wParam

00404450 push 112h ; Msg

00404455 push eax ; hWnd

00404456 call SendMessageA 字串9

00404456

0040445B

0040445B loc_40445B: ; CODE XREF: fptc+33 j

0040445B push 0 ; lpWindowName

0040445D push offset s_Avp_alertdial ; "AVP.AlertDialog"

00404462 call FindWindowA

00404462

00404467 test eax, eax 字串6

00404469 jz short loc_404478

00404469

0040446B push 0 ; lParam

0040446D push offset EnumFunc ; lpEnumFunc

00404472 push eax ; hWndParent 字串1

00404473 call EnumChildWindows

00404473

00404478

00404478 loc_404478: ; CODE XREF: fptc+55 j

00404478 pop ebp

00404479 retn 14h

00404479

00404479 fptc endp

字串5

ODE:004050A0 s_Bits db ''BITS'',0 ; DATA XREF: 00404EB5 o

004050A0 ; 00404EC4 o

004050A0 ; loc_404F81 o

004050A0 ; 00404F90 o 字串9

004050A0 ; loc_404FFF o

004050A0 ; 0040500E o ...

004050A5 align 4

004050A8 s_FreeDllDone db ''Free DLL Done!'',0 ; DATA XREF: 00404F20 o

004050A8 ; sub_4506E4+3E r

字串1

004050B7 align 4

004050B8 dd 0FFFFFFFFh

004050BC dword_4050BC dd 7 ; DATA XREF: sub_4506E4+36 r

004050C0 dword_4050C0 dd 2E646D63h, 657865h ; DATA XREF: 00404F48 o

004050C8 dword_4050C8 dd 0BBBBE6CCh, 0F1CEFEB7h ; DATA XREF: 00404F9E o

004050D0 s_Bits_0 db ''BITS'',0 ; DATA XREF: DATA:00450FE4 o

字串1

004050D0 ; DATA:00451073 r

004050D0 ; DATA:0045108B r

004050D5 align 4

004050D8 s_Servicedll db ''ServiceDll'',0 ; DATA XREF: 00404FB5 o

004050D8 ; 00404FCA o 字串8

004050E3 align 4

004050E4 s_SystemCurrent db ''SYSTEM\\CurrentControlSet\\Services\\BITS\\Parameters'',0

004050E4 ; DATA XREF: 00404FBA o

00405116 align 4

00405118 s_SystemControl db ''SYSTEM\\ControlSet003\\Services\\BITS\\Parameters'',0

00405118 ; DATA XREF: 00404FCF o 字串2

00405146 align 4

00405148 dd 0FFFFFFFFh, 12h

00405150 s_StartDllServi db ''Start DLL Service:'',0 ; DATA XREF: 00404FE7 o

00405163 align 4

00405164 dd 0FFFFFFFFh, 0Fh

0040516C s_Cmd_exeCDel db ''cmd.exe /c del '',0 ; DATA XREF: 00405033 o

0040517C db 3 dup(0)

0040517F db ?

字串5

00405180 dd 20h dup(?)

00405180 CODE ends

字串6

0043E31D align 10h

0043E320 dd 0FFFFFFFFh, 1

0043E328 dword_43E328 dd 20h, 0FFFFFFFFh, 10h ; DATA XREF: sub_43E1A4+B3 o

0043E334 s_B db ''小熊技术论坛远控'',0 ; DATA XREF: sub_43E1A4+11C o

0043E345 align 4 字串6

0043ECF4 s_WindowsServer db ''Windows Server 2003'',0 ; DATA XREF: sub_43EB1C+B1 o

0043ED08 db 0FFh,0FFh,0FFh,0FFh,0Dh,0

0043ED0E align 10h

0043ED10 s_WindowsVista db ''Windows Vista'',0 ; DATA XREF: sub_43EB1C+BF o

0043ED1E align 10h

0043ED20 db 0FFh,0FFh,0FFh,0FFh,0Ah,0

0043ED26 align 4

0043ED28 s_Windows95 db ''Windows 95'',0 ; DATA XREF: sub_43EB1C+E4 o 字串3

0043ED33 align 4

0043ED34 db 0FFh,0FFh,0FFh,0FFh,0Ah,0

0043ED3A align 4

0043ED3C s_Windows98 db ''Windows 98'',0 ; DATA XREF: sub_43EB1C+F2 o

0043ED47 align 4

0043ED48 db 0FFh,0FFh,0FFh,0FFh,0Ah,0

0043ED4E align 10h 字串3

0043ED50 s_WindowsMe db ''Windows Me'',0 ; DATA XREF: sub_43EB1C+100 o

0043ED5B align 4

0043ED5C dd 0FFFFFFFFh, 1

0043ED64 dword_43ED64 dd 20h ; DATA XREF: sub_43EB1C+128 o

字串3

词条	Backdoor.Win32.Delf.azb
释义	病毒名称：Backdoor.Win32.Delf.azb (Kaspersky) 病毒大小：343661 bytes 加壳方式：BINARYRES 样本MD5：ccb23ce816ba0d9ec4d07729bda18481 样本SHA1：cbfba1fc9b4b03ab0675aba013d9108978d491b1 编写语言：Borland Delphi 6.0 - 7.0 字串4 技术分析：病毒运行后，首先查找AVP.AlertDialog和360SafeMonClass窗口并枚举所有子窗口。尝试关闭360安全卫士监控和卡吧的主动防御窗口，并调用SendMessageA模拟鼠标操作，试图点击窗口出现的“允许”按钮，如果不成功，则模拟“跳过”，否则强制关闭监控窗口。字串3 释放文件： %system32%\\adbits.dll 字串3 替换系统正常的BITS服务： [HKLM\\SYSTEM\\CurrentControlSet\\Services\\BITS\\Parameters\\ServiceDll] 原值：%system32%\\qmgr.dll 改为：%system32%\\adbits.dll BITS服务简单描述：后台智能传输服务 (BITS)是新版本的 Microsoft Windows Update 和自动更新服务的必需组件。BITS 2.0 可提高文件传输的速度，改进恢复功能并减少网络带宽损耗，支持连线自动启动和断点续传的功能.用闲置网络带宽在后台传输文件。如果此服务被禁用，那么任何依赖于 BITS 的功能，例如 Windows Update 或 MSN Explorer，都将不能自动下载程序和其它信息。详细的信息请参考：http://msdn2.microsoft.com/en-us/library/aa362827.aspx 字串8 释放批处理删除自身字串1 对adbits.dll调试还会发现小熊技术论坛远控信息，判断操作系统版本，遍历注册表，判断是否主机，读取日志，记录在LOG文件,利用宿主反弹连接接收远程指令...水平有限，又对服务器不了解，所以还有很多不明白的地方。字串9 手动清除方法： 1，用IS（冰刃）强制删除：字串6 %system32%\\adbits.dll 字串9 2,改回被修改的注册表值： [HKLM\\SYSTEM\\CurrentControlSet\\Services\\BITS\\Parameters\\ServiceDll] %system32%\\adbits.dll 字串6 改为：%system32%\\qmgr.dll 字串3 附上部分IDA代码： 0040425E mov eax, [ebp+var_204] 00404264 mov edx, offset s_Avp_button ; "AVP.Button" 00404269 call sub_4038F0 字串8 00404414 push ebp 00404415 mov ebp, esp 00404417 push 0 ; lpWindowName 00404419 push offset ClassName ; "AVP.Product_Notification" 0040441E call FindWindowA 字串4 0040441E 00404423 test eax, eax 00404425 jz short loc_404439 00404425 00404427 push 0 ; lParam 00404429 push 0F060h ; wParam 0040442E push 112h ; Msg 字串9 00404433 push eax ; hWnd 00404434 call SendMessageA 00404434 00404439 00404439 loc_404439: ; CODE XREF: fptc+11 j 00404439 push 0 ; lpWindowName 字串6 0040443B push offset s_Q360safemoncl ; "Q360SafeMonClass" 00404440 call FindWindowA 00404440 00404445 test eax, eax 00404447 jz short loc_40445B 00404447 00404449 push 0 ; lParam 字串6 0040444B push 0F060h ; wParam 00404450 push 112h ; Msg 00404455 push eax ; hWnd 00404456 call SendMessageA 字串9 00404456 0040445B 0040445B loc_40445B: ; CODE XREF: fptc+33 j 0040445B push 0 ; lpWindowName 0040445D push offset s_Avp_alertdial ; "AVP.AlertDialog" 00404462 call FindWindowA 00404462 00404467 test eax, eax 字串6 00404469 jz short loc_404478 00404469 0040446B push 0 ; lParam 0040446D push offset EnumFunc ; lpEnumFunc 00404472 push eax ; hWndParent 字串1 00404473 call EnumChildWindows 00404473 00404478 00404478 loc_404478: ; CODE XREF: fptc+55 j 00404478 pop ebp 00404479 retn 14h 00404479 00404479 fptc endp 字串5 ODE:004050A0 s_Bits db ''BITS'',0 ; DATA XREF: 00404EB5 o 004050A0 ; 00404EC4 o 004050A0 ; loc_404F81 o 004050A0 ; 00404F90 o 字串9 004050A0 ; loc_404FFF o 004050A0 ; 0040500E o ... 004050A5 align 4 004050A8 s_FreeDllDone db ''Free DLL Done!'',0 ; DATA XREF: 00404F20 o 004050A8 ; sub_4506E4+3E r 字串1 004050B7 align 4 004050B8 dd 0FFFFFFFFh 004050BC dword_4050BC dd 7 ; DATA XREF: sub_4506E4+36 r 004050C0 dword_4050C0 dd 2E646D63h, 657865h ; DATA XREF: 00404F48 o 004050C8 dword_4050C8 dd 0BBBBE6CCh, 0F1CEFEB7h ; DATA XREF: 00404F9E o 004050D0 s_Bits_0 db ''BITS'',0 ; DATA XREF: DATA:00450FE4 o 字串1 004050D0 ; DATA:00451073 r 004050D0 ; DATA:0045108B r 004050D5 align 4 004050D8 s_Servicedll db ''ServiceDll'',0 ; DATA XREF: 00404FB5 o 004050D8 ; 00404FCA o 字串8 004050E3 align 4 004050E4 s_SystemCurrent db ''SYSTEM\\CurrentControlSet\\Services\\BITS\\Parameters'',0 004050E4 ; DATA XREF: 00404FBA o 00405116 align 4 00405118 s_SystemControl db ''SYSTEM\\ControlSet003\\Services\\BITS\\Parameters'',0 00405118 ; DATA XREF: 00404FCF o 字串2 00405146 align 4 00405148 dd 0FFFFFFFFh, 12h 00405150 s_StartDllServi db ''Start DLL Service:'',0 ; DATA XREF: 00404FE7 o 00405163 align 4 00405164 dd 0FFFFFFFFh, 0Fh 0040516C s_Cmd_exeCDel db ''cmd.exe /c del '',0 ; DATA XREF: 00405033 o 0040517C db 3 dup(0) 0040517F db ? 字串5 00405180 dd 20h dup(?) 00405180 CODE ends 字串6 0043E31D align 10h 0043E320 dd 0FFFFFFFFh, 1 0043E328 dword_43E328 dd 20h, 0FFFFFFFFh, 10h ; DATA XREF: sub_43E1A4+B3 o 0043E334 s_B db ''小熊技术论坛远控'',0 ; DATA XREF: sub_43E1A4+11C o 0043E345 align 4 字串6 0043ECF4 s_WindowsServer db ''Windows Server 2003'',0 ; DATA XREF: sub_43EB1C+B1 o 0043ED08 db 0FFh,0FFh,0FFh,0FFh,0Dh,0 0043ED0E align 10h 0043ED10 s_WindowsVista db ''Windows Vista'',0 ; DATA XREF: sub_43EB1C+BF o 0043ED1E align 10h 0043ED20 db 0FFh,0FFh,0FFh,0FFh,0Ah,0 0043ED26 align 4 0043ED28 s_Windows95 db ''Windows 95'',0 ; DATA XREF: sub_43EB1C+E4 o 字串3 0043ED33 align 4 0043ED34 db 0FFh,0FFh,0FFh,0FFh,0Ah,0 0043ED3A align 4 0043ED3C s_Windows98 db ''Windows 98'',0 ; DATA XREF: sub_43EB1C+F2 o 0043ED47 align 4 0043ED48 db 0FFh,0FFh,0FFh,0FFh,0Ah,0 0043ED4E align 10h 字串3 0043ED50 s_WindowsMe db ''Windows Me'',0 ; DATA XREF: sub_43EB1C+100 o 0043ED5B align 4 0043ED5C dd 0FFFFFFFFh, 1 0043ED64 dword_43ED64 dd 20h ; DATA XREF: sub_43EB1C+128 o 字串3
随便看	张诗盈张诗雨张诗玉张诗钟张诗芮张诗婕张十八张十庆张十五张十一故居张石张石宝张石城张石川张石店张石高速张石高速公路张石河村张石磊张石林张石铭张石铭故居张石铭旧居张石铭旧宅张石女