Trojan-Downloader.Win32.Delf.aex

病毒名稱: Trojan-Downloader.Win32.Delf.aex病毒類型: 木馬 檔案 MD5: BA3A40ABA17FB03D8979879CF606E1D4感染系統: Windows98以上版本

基本介紹

  • 外文名:Trojan-Downloader.Win32.Delf.aex
  • 病毒類型:木馬
  • 公開範圍:完全公開
  • 危害等級:中
病毒概述,開發工具,命名對照,病毒描述,清除方案,

病毒概述

病毒名稱:Trojan-Downloader.Win32.Delf.aex
病毒類型:木馬
公開範圍:完全公開
危害等級:中
檔案長度:18,845 位元組

開發工具

Microsoft Visual C++ 5.0 - 6.0
加殼類型: FSG 2.0

命名對照

Symentec[Downloader.Trojan]
Mcafee[無]

病毒描述

該病毒屬木馬類。病毒使用Windows圖片瀏覽器的圖示,用以迷惑用戶點擊運行。病毒運行後,複製自身到系統目錄“WINDIR ”下,釋放病毒檔案,修改註冊表,添加啟動項,以達到隨機啟動的目的,連線網路,開啟本地連線埠,下載病毒檔案,修改用戶QICQ密碼,盜取用戶的敏感信息,並使QICQ帶有“QQ尾巴”,自動傳送含有被掛馬的網站信息,終止反病毒軟體的進程,阻止防毒軟體的安裝。該病毒對用戶有較大危害。
行為分析:
1、病毒使用Windows圖片瀏覽器的圖示,用以迷惑用戶點擊運行。
2、病毒運行後,複製自身到系統目錄“WINDIR”下,釋放病毒檔案:
WINDIR\niw.exe
system32\impai.exe
3、修改註冊表,添加啟動項,以達到隨機啟動的目的:
修改的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command
原鍵值:字串:"默認"="%SystemRoot%\system32
\NOTEPAD.EXE %1."
修改的鍵值:字串:"默認"="C:\WINDOWS\system32
\impai.exe "%1""
新建註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
鍵值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
鍵值: 字串: "Desktop"="C:\WINDOWS\system32
\rundll32.exe"
"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347-54BB7D069AC6}\
鍵值: 字串: "默認"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347
54BB7D069AC6}\InprocServer32\
鍵值: 字串: "默認"="C:\PROGRA~1\DESKAD~1
\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
鍵值: 字串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347-54BB7D069AC6}\ProgID
鍵值: 字串: "默認"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347
54BB7D069AC6}\VersionIndependentProgID
鍵值: 字串: "默認"="MonitorIE.MonitorURL"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1
鍵值: 字串: "默認"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1\CLSID
鍵值: 字串: "默認"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
鍵值: 字串: "默認"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CLSID
鍵值: 字串: "默認"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CurVer
鍵值: 字串: "默認"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\0\win32
鍵值: 字串: "默認"="C:\Program Files\DeskAdTop\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0
鍵值: 字串: "默認"="MonitorIE 1.0 Type Library"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\
鍵值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
鍵值: 字串: "DownloadManager"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒體
鍵值: 字串: " DisplayName "="桌面媒體"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒體
鍵值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒體
鍵值: 字串: "UninstallString"="C:\Program Files\DeskAdTop\DeskUn.exe"
4、連線網路,開啟本地連線埠,下載病毒檔案:
協定:TCP
連線埠:隨機開啟本地1024以上連線埠,如:1124
IP位址:210.51.168.69
下載的病毒檔案:
system32\tmdown.exe
system32\tmdown1.exe
Program Files\deskadtop\_uninstall
Program Files\deskadtop\allverx.dat
Program Files\deskadtop\deskipn.dll
Program Files\deskadtop\DeskUn.exe
Program Files\deskadtop\Mrup.exe
Program Files\deskadtop\Run.dll
Program Files\deskadtop\sinfo.ini
5、修改用戶QICQ密碼,盜取用戶的敏感信息,並使QICQ帶有“QQ尾巴”,自動傳送含有被掛馬的網站信息:
QQ尾巴內容為:
咱們老同學的校友錄有新留言了,你看看吧!
http://www.0451m***.com/img/chianren.htm
6、終止反病毒軟體的進程,阻止防毒軟體的安裝。
註: System是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線進程管理”關閉病毒進程
(2) 刪除病毒檔案
WINDIR\niw.exe
system32\impai.exe
system32\tmdown.exe
system32\tmdown1.exe
Program Files\deskadtop\_uninstall
Program Files%\deskadtop\allverx.dat
Program Files\deskadtop\deskipn.dll
Program Files\deskadtop\DeskUn.exe
Program Files\deskadtop\Mrup.exe
Program Files\deskadtop\Run.dll
Program Files\deskadtop\sinfo.ini
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
修改註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command
鍵值:字串:"默認"="C:\WINDOWS\system32
\impai.exe "%1""
改為:
鍵值:字串:"默認"="%SystemRoot%\system32
\NOTEPAD.EXE %1."
刪除以下註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
鍵值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
鍵值: 字串: "Desktop"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\
鍵值: 字串: "默認"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
鍵值: 字串: "默認"="C:\PROGRA~1\DESKAD~1\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
鍵值: 字串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\ProgID
鍵值: 字串: "默認"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\VersionIndependentProgID
鍵值: 字串: "默認"="MonitorIE.MonitorURL"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1
鍵值: 字串: "默認"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1\CLSID
鍵值: 字串: "默認"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
鍵值: 字串: "默認"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CLSID
鍵值: 字串: "默認"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE
.MonitorURL\CurVer
鍵值: 字串: "默認"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\0\win32
鍵值: 字串: "默認"="C:\Program Files\DeskAdTop\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0
鍵值: 字串: "默認"="MonitorIE 1.0 Type Library"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\
鍵值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
鍵值: 字串: "DownloadManager"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window
s\CurrentVersion\Uninstall\桌面媒體
鍵值: 字串: " DisplayName "="桌面媒體"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒體
鍵值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒體
鍵值: 字串: "UninstallString"="C:\Program Files
\DeskAdTop\DeskUn.exe"

相關詞條

熱門詞條

聯絡我們