Trojan-Downloader.Win32.Delf.cif

該病毒為10月4日天空軟體站所掛木馬,掛馬情況見【病毒風向標精英組】成員所寫掛馬分析。該病毒為下載者,通過修改註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run增加啟動項目進行開機自啟動,並連線網路下載1-20.exe,帶有彈窗行為,作者在病毒體內留下字元串:“我叫小懶蟲,防毒軟體哥哥別KILL我丫!help me!”

基本介紹

  • 外文名:Trojan-Downloader.Win32.Delf.cif
  • 病毒類型下載者
  • 公開範圍:完全公開
  • 危害等級: A
  • 檔案長度:10.5 KB (10,801 位元組
  • 開發工具:Borland Delphi 6.0 - 7.0
  • 加殼類型:FSG殼
  • 病毒類型:木馬
病毒標籤,行為分析,修改系統時間與關閉360安全衛士,釋放檔案與網路行為,增加啟動項目,清除方案,刪除檔案,刪除啟動項目,

病毒標籤

檔案 MD5:677d306429b75433b1fff8e43bdd5a8a
命名對照:
F-SECURE Trojan-Downloader.Win32.Delf.cif 2.602
Dr.WEB Trojan.DownLoader.35124 5.423
AntiVir TR/Delphi.Downloader.Gen 3.531

行為分析

修改系統時間與關閉360安全衛士

cmd /c date 2000-01-01
cmd /c taskkill /im 360safe.exe /f

釋放檔案與網路行為

連線網路下載1-20.exe與down.exe存放在本地路徑
%Program Files%\Internet Explorer\1.exe-20.exe
%Program Files%\Internet Explorer\down.exe
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄

增加啟動項目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SVCH0ST"
Type: REG_EXPAND_SZ
Data: C:\Program Files\Internet Explorer\down.exe

清除方案

刪除檔案

用強制刪除工具[建議使用MJ寫的FileKill360]刪除下面列出的檔案並免疫。
c:\Program Files\Internet Explorer\down.exe
c:\Program Files\Internet Explorer\1.exe
..............省略2-19
c:\Program Files\Internet Explorer\20.exe

刪除啟動項目

[建議使用SRENG查看並刪除]:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{SVCH0ST}{C:\Program Files\Internet Explorer\down.exe} []
建議清除不掉病毒的用戶使用專殺程式進行清除和免疫。
【病毒風向標精英組:專殺工具下載】

熱門詞條

聯絡我們