Trojan-Dropper.Win32.Delf.va是一種修改註冊表以保護BinNice.dll檔案不被刪除從而感染計算機資源管理器的木馬病毒。
基本介紹
- 外文名:Trojan-Dropper.Win32.Delf.va
- 病毒類型:木馬
- 公開範圍:完全公開
- 危害等級:3
- 感染系統:windows98以上版本
- 開發工具:Microsoft Visual C++ 6.0
簡介,行為分析,清除方案,
簡介
該病毒屬木馬類。病毒運行後,衍生病毒檔案到系統正常程式目錄下,並重命名為 BinNice.bak ,修改註冊表以保護 BinNice.dll 檔案不被刪除。病毒衍生檔案 BinNice.dll 插入系統正常進程 Explorer.exe 中,搜尋進程 VerCLSID.exe ,如有則插入。 通過 ANI漏洞進行網站掛馬傳播。該病毒嘗試刪除衍生檔案 BinNice.bak ,但未能成功。
病毒名稱: Trojan-Dropper.Win32.Delf.va
病毒類型: 木馬
檔案 MD5: 989F391B9FC286A08DBE90DFDBB414A1
公開範圍: 完全公開
危害等級: 3
檔案長度: 15,334 位元組
感染系統: windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: FSG 2.0
命名對照: NORMAN [ Security Risk Suspicious_F.gen ]
AntiVir [TR/PSW.Nilage.akh.15]
行為分析
1 、病毒運行後衍生檔案:
%Program Files%\Internet Explorer\PLUGINS\BinNice.dll
%Program Files%\Internet Explorer\PLUGINS\BinNice.bak
%Program Files%Internet Explorer\PLUGINS\BinNice.bkk
2 、修改註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{03E636B9-AE6C-5E23-638E-B633E22F6338}\InProcServer32
值 : 字元串 : "@"="C:\Program Files\Internet Explorer\PLUGINS\BinNice.dll"
3 、病毒檔案 BinNice.dll 插入進程:
Explorer.Exe
VerCLSID.exe
4 、該病毒通過 ANI 漏洞進行網站掛馬傳播。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
Explorer.Exe
(2) 刪除病毒檔案:
%Program Files%\Internet Explorer\PLUGINS\BinNice.dll
%Program Files%\Internet Explorer\PLUGINS\BinNice.bak
%Program Files%Internet Explorer\PLUGINS\BinNice.bkk
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{03E636B9-AE6C-5E23-638E-B633E22F6338}\InProcServer32
值 : 字元串 : "@"="C:\Program Files\Internet
Explorer\PLUGINS\BinNice.dll"
