Trojan-Downloader.Win32.Delf.bho是一種病毒。該病毒運行後,衍生病毒檔案到系統目錄下。添加註冊表隨機運行項以隨系統引導病毒體。病毒體自動連線某伺服器下載病毒體到本機運行,下載的病毒體主要為網路遊戲盜號程式,並掃描本機 IP所屬的網段139連線埠,試圖利用網路共享傳播自身。值得注意的是,此病毒大量存在於利用最近的微軟的ANI漏洞構造的圖片與腳本中。
基本介紹
- 中文名:下載者變種
- 外文名:Trojan-Downloader.Win32.Delf.bho
- 公開範圍:完全公開
- 危害等級:4
基本信息,行為分析,清除方案,使用防毒軟體,手工清除,
基本信息
Trojan-Downloader.Win32.Delf.bho
中文名稱: 下載者變種
病毒類型: 木馬類
檔案 MD5: 54416CD0214109236F61339C138BA5B2
公開範圍: 完全公開
危害等級: 危害等級
檔案長度: 加殼後 16,602 位元組,脫殼後113,152 位元組
感染系統: Win9X以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: Upack 0.3.9 beta2s -> Dwing
命名對照: BitDefender [Generic.Malware.WBdld.2BFD9495]
行為分析
衍生下列副本與檔案
%WinDir%\cmdbcs.exe Trojan-PSW.Win32.OnLineGames.es
%WinDir%\mppds.exe Trojan-PSW.Win32.OnLineGames.lz
%WinDir%\msccrt.exe Trojan-PSW.Win32.OnLineGames.es
%WinDir%\shualai.exe Trojan-PSW.Win32.OnLineGames.es
%WinDir%\winform.exe Trojan-PSW.Win32.OnLineGames.lc
%System32%\8.exe Trojan-Dropper.Win32.Agent.bcv
%System32%\cmdbcs.dll Trojan-PSW.Win32.OnLineGames.es
%System32%\msccrt.dll Trojan-PSW.Win32.OnLineGames.es
%System32%\servet.exe Trojan-Downloader.Win32.Delf.bho
%System32%\shualai.dll Trojan-PSW.Win32.OnLineGames.lz
%System32%\winform.dll Trojan-PSW.Win32.OnLineGames.lz
%ProgramFiles%\Internet Explorer\MoWang.sys
%ProgramFiles%\Internet Explorer\MoWang.tdm
新建註冊表鍵值
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\run\wm
Value: String: "%WINDIR%|Syswm6\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svc
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\ie777.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmdbcs
Value: String: "%WINDIR%|cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mppds
Value: String: "%WINDIR%|mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msccrt
Value: String: "%WINDIR%|msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\shualai
Value: String: "%WINDIR%|shualai.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\upxdndq
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\upxdndq.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winform
Value: String: "%WINDIR%|winform.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks\{ DD7D4640-4464-48C0-82FD-21338366D2D2 }
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ DD7D4640-4464-48C0-82FD-21338366D2D2 }\InProcServer32\@
Value: String: "C:\Program Files\Internet Explorer\MoWang.tdm"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsDown\Description
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsDown\DisplayName
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsDown\ImagePath
Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes
%WINDIR%|System32\servet.exe.
修改下列註冊表鍵值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPF\DisplayName
New: String: "Netgroup Packet Filter"
Old: String: "NetGroup Packet Filter Driver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\DisplayName
New: String: "Netgroup Packet Filter"
Old: String: "NetGroup Packet Filter Driver"
從下列伺服器下載檔案到本機運行
Host:
[url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3
*) /down1/1.exe
Host:
[url=http://www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe]www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe
Host:
[url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3
*) /houtai/kehu94/logo.Gif
Host:
[url=http://www.h*o1*3.com(61.1*5.1*3.5*)
5 、收集用戶的 MAC 地址信息傳送到下列 ASP 頁面:
[url=http://www.1*d*m.com/houtai/kehu94/count/count.asp]http://www.1*d*m.com/houtai/kehu94/count/count.asp
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
使用防毒軟體
使用安天木馬防線等防毒軟體可徹底清除此病毒
手工清除
手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
IEXPLORER.EXE
(2) 刪除並恢復病毒添加與修改的註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\run\wm
Value: String: "%WINDIR%|Syswm6\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\svc
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\ie777.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\cmdbcs
Value: String: "%WINDIR%|cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\mppds
Value: String: "%WINDIR%|mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\msccrt
Value: String: "%WINDIR%|msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\shualai
Value: String: "%WINDIR%|shualai.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\upxdndq
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\upxdndq.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\winform
Value: String: "%WINDIR%|winform.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Exporer\ShellExecuteHooks\
{ DD7D4640-4464-48C0-82FD-21338366D2D2 }
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ DD7D4640-4464-48C0-82FD-21338366D2D2 }\InProcServer32\@
Value: String:
"C:\Program Files\InternetExplorer\MoWang.tdm"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
WindowsDown\Description
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
WindowsDown\DisplayName
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
WindowsDown\ImagePath
Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes
%WINDIR%|System32\servet.exe.
(3) 刪除病毒釋放檔案:
%WinDir%\cmdbcs.exe
%WinDir%\mppds.exe
%WinDir%\msccrt.exe
%WinDir%\shualai.exe
%WinDir%\winform.exe
%System32%\8.exe
%System32%\cmdbcs.dll
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\servet.exe
%System32%\shualai.dll
%System32%\winform.dll
%ProgramFiles%\Internet Explorer\MoWang.sys
%ProgramFiles%\Internet Explorer\MoWang.tdm