Trojan-Downloader.Win32.Delf.bnc

Trojan-Downloader.Win32.Delf.bnc是計算機病毒。

基本介紹

外文名：Trojan-Downloader.Win32.Delf.bnc
病毒大小：24387 bytes
加殼方式：Upack
編寫語言：Borland Delphi 6.0-7.0

基本信息,下載地址,調用cmd命令運行,

基本信息

病毒名稱：Trojan-Downloader.Win32.Delf.bnc （Kaspersky）

病毒大小：24387 bytes

加殼方式：Upack

樣本MD5：ea449fb9fa0912cc96a.ede1ec5842cad

樣本SHA1：051c98415dd3d04eff3cb16f2415e4f7b25ad74f

編寫語言：Borland Delphi 6.0-7.0

字串8

行為分析：

字串5

病毒運行後，創建.副本到：

%System32%\wnipsvr.exe

並釋放：

%System32%\perefic.ini

記錄病毒的版本信息，這個樣本是11212 字串1

創建服務：

[HKLM\System\CurrentControlSet\Services\11111]

顯示名：11111

描述：允許對T1BT名稱解析的支持

執行檔的路徑：%System32%\wnipsvr.exe 字串6

病毒會在各分區根目錄.複製副本，創建autorun.inf實現自動播放時運行病毒的動作：

X:\autorun.inf

X:\Hide.exe

autorun內容：

[autorun]

open=Hide.exe

字串6

調用IE，連線網路下載其它病毒：

先下載http://www.ndnd.info/ad.txt

保存為：%ProgramFiles%\ini.ini

裡面記錄的是病毒版本信息，這個樣本是11212

下載地址

http://xz.88889999.info/1.exe

http://xz.88889999.info/2.exe

http://xz.88889999.info/3.exe

http://xz.88889999.info/4.exe

http://xz.88889999.info/5.exe

http://xz.88889999.info/6.exe

http://xz.88889999.info/7.exe

http://xz.88889999.info/8.exe

http://xz.88889999.info/9.exe

http://xz.88889999.info/10.exe

http://xz.88889999.info/11.exe

http://xz.8888.9999.info/12.exe

http://xz.88889999.info/13.exe

http://xz.88889999.info/14.exe

http://xz.88889999.info/15.exe

http://xz.88889999.info/16.exe

http://xz.88889999.info/17.exe

http://xz.88889999.info/18.exe

http://xz.88889999.info/19.exe

http://xz.88889999.info/20.exe

保存為：

%ProgramFiles%\pro1.exe

%ProgramFiles%\pro2.exe

%ProgramFiles%\pro3.exe

字串9

%ProgramFiles%\pro4.exe

%ProgramFiles%\pro5.exe

%ProgramFiles%\pro6.exe

%ProgramFiles%\pro7.exe

%ProgramFiles%\pro8.exe

%ProgramFiles%\pro9.exe

%ProgramFiles%\pro10.exe

%ProgramFiles%\pro11.exe

%ProgramFiles%\pro12.exe

%ProgramFiles%\pro13.exe

%ProgramFiles%\pro14.exe

%ProgramFiles%\pro15.exe

%ProgramFiles%\pro16.exe

%ProgramFile.s%\pro17.exe

%ProgramFiles%\pro18.exe

%ProgramFiles%\pro19.exe

%ProgramFiles%\pro20.exe

調用cmd命令運行

下載的多是onlinegame一類盜號的和spy,delf類的病毒

字串5

調用cmd命令刪除%ProgramFiles%\ini.ini 字串6

病毒還會嘗試關閉相關安全進程和相關窗體：

RavMon.exe

kvsrvxp.exe

kavstart.exe

相關詞條

熱門詞條

聯絡我們