病毒名称

Backdoor.Win32.Delf.cne

病毒症状

该病毒是一个使用DELPHI编写的病毒程序，长度为582,656字节，图标为windows默认可执行文件图标，病毒扩展名为exe，传播途径主要为网页挂马、文件捆绑、黑客攻击。

病毒分析

当病毒被激活后，在%systemroot%目录下生成setservices.exe病毒主体文件，在%systemroot%\\system32目录下生成sysns.dll文件，在%systemroot%\\plugin目录下生成001.dll文件；修改系统时间为2006-12-1，使得部分杀毒软件因过期而失效；修改注册表相关键值禁用注册表编辑器，使得用户无法通过手工修复注册表清除病毒；修改HKLM下的Winlogon相关项，使得病毒能随系统启动而运行；开启一个svchost.exe进程并将001.dll注入这个进程中，用于监视用户的键盘输入，并将获取的信息写入名为key.dat的文件中，从而盗取用户的各种帐号及密码信息；通过SCM(服务控制管理器)修改注册表将sysns.dll注册成名为netns的服务并开启该服务，服务启动后开启多个线程与黑客进行通讯，接受黑客的控制，从而可以盗取用户计算机中的各种文件，占用用户计算机资源。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马,文件捆绑

YissAi建议：

1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

3、开启windows自动更新，及时打好漏洞补丁。

技术细节

病毒修改注册表项：

项：HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

键值：Userinit

指向文件：%systemroot%\\system32\\userinit.exe,"C:\\WINDOWS\etservice.exe"un userinit.exe

项：HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

键值：DisableRegistryTools

数值数据：00000001

项：HKLM\\SYSTEM\\CurrentControlSet\\Services\etns

键值：ImagePath

指向文件：%systemroot%\\system32\\svchost.exe -k network

项：HKLM\\SYSTEM\\CurrentControlSet\\Services\etns\\Parameters

键值：ServiceDll

指向文件： %SystemRoot%\\System32\\sysns.dll