Trojan-Downloader.Win32.Delf.bho

Trojan-Downloader.Win32.Delf.bho是一種病毒。該病毒運行後,衍生病毒檔案到系統目錄下。添加註冊表隨機運行項以隨系統引導病毒體。病毒體自動連線某伺服器下載病毒體到本機運行,下載的病毒體主要為網路遊戲盜號程式,並掃描本機 IP所屬的網段139連線埠,試圖利用網路共享傳播自身。值得注意的是,此病毒大量存在於利用最近的微軟的ANI漏洞構造的圖片與腳本中。

Trojan-Downloader.Win32.Delf.bho介紹

病毒名稱: Trojan-Downloader.Win32.Delf.bho
中文名稱: 下載者變種
病毒類型: 木馬
檔案 MD5: 54416CD0214109236F61339C138BA5B2
公開範圍: 完全公開
危害等級: 4
檔案長度: 加殼後 16,602 位元組,脫殼後113,152 位元組
感染系統: Win9X以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: Upack 0.3.9 beta2s -> Dwing
命名對照: BitDefender [Generic.Malware.WBdld.2BFD9495]
病毒描述:
該病毒運行後,衍生病毒檔案到系統目錄下。添加註冊表隨機運行項以隨系統引導病毒體。病毒體自動連線某伺服器下載病毒體到本機運行,下載的病毒體主要為網路遊戲盜號程式,並掃描本機 IP所屬的網段139連線埠,試圖利用網路共享傳播自身。值得注意的是,此病毒大量存在於利用最近的微軟的ANI漏洞構造的圖片與腳本中。

行為分析

1 、衍生下列副本與檔案:
%WinDir%\cmdbcs.exe Trojan-PSW.Win32.OnLineGames.es
%WinDir%\mppds.exe Trojan-PSW.Win32.OnLineGames.lz
%WinDir%\msccrt.exe Trojan-PSW.Win32.OnLineGames.es
%WinDir%\shualai.exe   Trojan-PSW.Win32.OnLineGames.es
%WinDir%\winform.exe  Trojan-PSW.Win32.OnLineGames.lc
%System32%\8.exe   Trojan-Dropper.Win32.Agent.bcv
%System32%\cmdbcs.dll  Trojan-PSW.Win32.OnLineGames.es
%System32%\msccrt.dll  Trojan-PSW.Win32.OnLineGames.es
%System32%\servet.exe  Trojan-Downloader.Win32.Delf.bho
%System32%\shualai.dll Trojan-PSW.Win32.OnLineGames.lz
%System32%\winform.dll Trojan-PSW.Win32.OnLineGames.lz
%ProgramFiles%\Internet Explorer\MoWang.sys
%ProgramFiles%\Internet Explorer\MoWang.tdm
2 、新建註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\run\wm
Value: String: "%WINDIR%|Syswm6\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svc
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\ie777.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmdbcs
Value: String: "%WINDIR%|cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mppds
Value: String: "%WINDIR%|mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msccrt
Value: String: "%WINDIR%|msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\shualai
Value: String: "%WINDIR%|shualai.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\upxdndq
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\upxdndq.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winform
Value: String: "%WINDIR%|winform.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks\
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
\InProcServer32\@
Value: String: "C:\Program Files\Internet Explorer\MoWang.tdm"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsDown\Description
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsDown\DisplayName
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsDown\ImagePath
Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes
%WINDIR%|System32\servet.exe.
3 、修改下列註冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npf\DisplayName
New: String: "Netgroup Packet Filter"
Old: String: "NetGroup Packet Filter Driver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\DisplayName
New: String: "Netgroup Packet Filter"
Old: String: "NetGroup Packet Filter Driver"
4 、從下列伺服器下載檔案到本機運行:
Host:
[url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3
*) /down1/1.exe
Host:
[url=http://www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe]www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe
Host:
[url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3
*) /houtai/kehu94/logo.Gif
Host:
[url=http://www.h*o1*3.com(61.1*5.1*3.5*)
5 、收集用戶的 MAC 地址信息傳送到下列 ASP 頁面:
[url=http://www.1*d*m.com/houtai/kehu94/count/count.asp]http://www.1*d*m.com/houtai/kehu94/count/count.asp
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
    (1) 使用 安天木馬防線 “進程管理”關閉病毒進程:
IEXPLORER.EXE
 (2) 刪除並恢復病毒添加與修改的註冊表鍵值:  
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\run\wm
Value: String: "%WINDIR%|Syswm6\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\svc
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\ie777.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\cmdbcs
Value: String: "%WINDIR%|cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\mppds
Value: String: "%WINDIR%|mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\msccrt
Value: String: "%WINDIR%|msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\shualai
Value: String: "%WINDIR%|shualai.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\upxdndq
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\upxdndq.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\winform
Value: String: "%WINDIR%|winform.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Exporer\ShellExecuteHooks\
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
\InProcServer32\@
Value: String:
"C:\Program Files\InternetExplorer\MoWang.tdm"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
WindowsDown\Description
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
WindowsDown\DisplayName
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
WindowsDown\ImagePath
Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes
%WINDIR%|System32\servet.exe.
  (3) 刪除病毒釋放檔案:
%WinDir%\cmdbcs.exe
%WinDir%\mppds.exe
%WinDir%\msccrt.exe
%WinDir%\shualai.exe
%WinDir%\winform.exe
%System32%\8.exe
%System32%\cmdbcs.dll
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\servet.exe
%System32%\shualai.dll
%System32%\winform.dll
%ProgramFiles%\Internet Explorer\MoWang.sys
%ProgramFiles%\Internet Explorer\MoWang.tdm

相關詞條

相關搜尋

熱門詞條

聯絡我們