基本介紹
- 中文名:Backdoor.Win32.Delf.cne
- 實質:病毒程式
- 長度:長度為582,656位元組
- 傳播途徑:主要為網頁掛馬、檔案捆綁
病毒名稱,病毒分析,感染對象,傳播途徑,YissAi建議:,技術細節,
病毒名稱
Backdoor.Win32.Delf.cne
病毒分析
當病毒被激活後,在%systemroot%目錄下生成setservices.exe病毒主體檔案,在%systemroot%\system32目錄下生成sysns.dll檔案,在%systemroot%\plugin目錄下生成001.dll檔案;修改系統時間為2006-12-1,使得部分防毒軟體因過期而失效;修改註冊表相關鍵值禁用註冊表編輯器,使得用戶無法通過手工修復註冊表清除病毒;修改HKLM下的Winlogon相關項,使得病毒能隨系統啟動而運行;開啟一個svchost.exe進程並將001.dll注入這個進程中,用於監視用戶的鍵盤輸入,並將獲取的信息寫入名為key.dat的檔案中,從而盜取用戶的各種帳號及密碼信息;通過SCM(服務控制管理器)修改註冊表將sysns.dll註冊成名為netns的服務並開啟該服務,服務啟動後開啟多個執行緒與黑客進行通訊,接受黑客的控制,從而可以盜取用戶計算機中的各種檔案,占用用戶計算機資源。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬,檔案捆綁
YissAi建議:
1、不要在不明站點下載非官方版本的軟體進行安裝,避免病毒通過捆綁的方式進入您的系統。
3、開啟windows自動更新,及時打好漏洞補丁。
技術細節
病毒修改註冊表項:
項:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
鍵值:Userinit
指向檔案:%systemroot%\system32\userinit.exe,"C:\WINDOWS\netservice.exe"un userinit.exe
項:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
鍵值:DisableRegistryTools
數值數據:00000001
項:HKLM\SYSTEM\CurrentControlSet\Services\netns
鍵值:ImagePath
指向檔案:%systemroot%\system32\svchost.exe -k network
項:HKLM\SYSTEM\CurrentControlSet\Services\netns\Parameters
鍵值:ServiceDll
指向檔案: %SystemRoot%\System32\sysns.dll
