該病毒屬木馬類,病毒運行後在%system32%\CatRoot2下新建了大量.log檔案,用以記錄鍵盤操作,從而盜取用戶敏感信息,並以郵件的形式傳送給病毒作者。
基本介紹
- 中文名:Trojan-Downloader.Win32.Delf.ain
- 外文名:Trojan-Downloader.Win32.Delf.ain
- 病毒類型:木馬
- 公開範圍:完全公開
- 檔案 MD5:8B10932BA81F41561EA62FF3E0426A17
- 危害等級:中
- 檔案長度:66,056 位元組
- 感染系統:windows98以上版本
- 開發工具:Microsoft Visual C++ 6.0
- 加殼類型:未知殼
- 命名對照:Symentec[Hacktool]
病毒描述,行為分析,清除方案,
病毒描述
釋放修改系統時間的檔案到資料夾%system32%\CatRoot2下,使病毒檔案的新建時間與系統時間不一至,同時釋放檔案碎片恢復檔案%system32%\CatRoot2\.edb.chk,此檔案可以恢復被刪除的病毒檔案,給手工刪除此病毒帶來了一定的困難。此病毒對用戶有一定危害。
行為分析
1、病毒運行後在%system32%\CatRoot2下新建了大量.log檔案,用以記錄鍵盤操作:
%system32%\CatRoot2\res1.log
%system32%\CatRoot2\res2.log
%system32%\CatRoot2\edb.log
%system32%\CatRoot2\dberr.txt
%system32%\CatRoot2\edbtmp.log
%system32%\CatRoot2\edb0001b.log
2、病毒記錄鍵盤操作,並以郵件的形式傳送給病毒作者:
3、釋放修改系統時間的檔案到資料夾%system32%\CatRoot2下,使病毒檔案的新建時間與系統時間不一至:
%system32%\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
%system32%\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\TimeStamp
%system32%\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\ catdb
%system32%\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\ TimeStamp
%system32%\CatRoot2\tmp.edb
4、釋放檔案碎片恢復檔案,用來恢復被刪除的病毒檔案,從而給手工刪除此病毒帶來了一定的困難:
%system32%\CatRoot2\.edb.chk
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%system32%\CatRoot2\res1.log
%system32%\CatRoot2\res2.log
%system32%\CatRoot2\edb.log
%system32%\CatRoot2\dberr.txt
%system32%\CatRoot2\edbtmp.log
%system32%\CatRoot2\edb0001b.log
%system32%\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
%system32%\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\TimeStamp
%system32%\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\ catdb
%system32%\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\ TimeStamp
%system32%\CatRoot2\tmp.edb
%system32%\CatRoot2\.edb.chk
