該病毒屬木馬類,病毒運行後會複製原病毒副本到%windir%g_server.exe,該檔案主要用於實現後門。並釋放另外一個配置檔案%windir%g_server.dll,該檔案主要用於實現隱藏功能。而後修改註冊表鍵,嘗試連線網路,收集感染主機的敏感信息。該病毒還具有後門功能,病毒開啟本地1080連線埠等待惡意用戶的連線,惡意用戶能夠對感染主機執行任意操作。該病毒對用戶有一定的危害。
基本介紹
- 中文名:Trojan-Dropper.Win32.Delf.nk
- 公開範圍:完全公開
- 危害等級:中
- 病毒類型:木馬
病毒概述,病毒行為,
病毒概述
病毒名稱: Trojan-Dropper.Win32.Delf.nk
檔案MD5: 0DFD030F22A4E51076C21D5A32CA6AA2
檔案長度: 432,128 位元組
感染系統: windows 98 及以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: 未知殼
命名對照: Symentec[無]
Mcafee[無]
病毒行為
行為分析:
1、病毒運行後,釋放病毒檔案到:
%windir%g_server.dll
%windir%g_server.exe
2、修改註冊表檔案:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\GrayPigeonServer\ImagePath
鍵值: 字串: C:\WINNT\G_Server.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\GrayPigeonServer\DisplayName
鍵值: 字串: "Gray_Pigeon_Server"
3、開啟本地1080連線埠,等待惡意用戶的連線。惡意用戶可以對感染主機執行任意操作,如:刪除、下載並執行檔案等。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案:
%windir%g_server.dll
%windir%g_server.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\GrayPigeonServer\ImagePath
鍵值: 字串: C:\WINNT\G_Server.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\GrayPigeonServer\DisplayName
鍵值: 字串: "Gray_Pigeon_Server"
