該程式是使用Delphi編寫的下載程式,採用FSG加殼方式試圖躲避特徵碼掃描,加殼後長度為21,993位元組,圖示為Windows默認執行檔圖示,病毒擴展名為exe,主要通過網頁木馬、檔案捆綁方式傳播。
基本介紹
- 中文名:Trojan-Downloader.Win32.Delf.ivc
- 感染對象:Windows 2000/Windows
- 傳播途徑:網頁木馬、檔案捆綁
- YissAi建議:及時打好漏洞補丁
病毒分析,技術細節,
病毒分析
該樣本程式被執行後,拷貝自身到%systemroot%目錄下,並重命名為microsoft.exe;修改註冊表自啟動項使病毒隨系統一起啟動;通過運行命令行cmd /c taskkill /im 360safe.exe /f 試圖將360safe.exe進程關閉;運行命令行cmd /c date 2000-01-01修改當前系統時間,使部分防毒軟體過期不能正常使用;通過使用API函式URLDownloadToFileA訪問如下網站,將其它病毒程式下載到本地C:\Program Files並運行。
YissAi建議:
1、不要在不明站點下載非官方版本的軟體進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、儘快將您的防毒軟體特徵庫升級到最新版本進行查殺,並開啟防火牆攔截網路異常訪問,如依然有異常情況請注意及時與專業的安全軟體廠商聯繫獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
技術細節
病毒修改註冊表項:
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
鍵值:dedede
指向檔案:%systemroot%\microsoft.exe
