Trojan-Proxy.Win32.Delf.l,特洛伊木馬病毒。可以感染Windows98以上版本。
基本介紹
簡介,行為分析,清除方案,
簡介
病毒名稱: Trojan-Proxy.Win32.Delf.l
中文名稱: 無
檔案 MD5: 9437808C416B39E44F65A15A4D5DE3B3
危害等級: 中等
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: ASPack
命名對照: Symentec[Backdoor.Trojan]
Mcafee[Generic.ca]
病毒描述:
該病毒屬木馬類。病毒運行後修改註冊表,添加啟動項,達到隨系統啟動的目的,在任務管理器中顯示與其相同的進程名windlt.exe。病毒運行同時開放連線埠,便於遠程訪問。
行為分析
1、刪除註冊表鍵值,目的為刪除用戶的歷史紀錄:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\Cache
\Extensible Cache\MSHist012006052920060530\
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\Cache
\Extensible Cache\MSHist012006052920060530\CacheLimit
鍵值: DWORD: 8192 (0x2000)
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012006052920060530\CacheOptions
鍵值: DWORD: 11 (0xb)
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012006052920060530\CachePath
鍵值: 類型: REG_EXPAND_SZ
長度: 75 (0x4b) 位元組
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012006052920060530\CachePrefix
鍵值: 字串: ":2006052920060530: "
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012006052920060530\CacheRepair
鍵值: DWORD: 0 (0)
2、添加註冊表啟動項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
鍵值: 字串: "Socks5Proxy"="原病毒所在路徑"
3、病毒運行後開放連線埠進行網路偵聽:
連線埠號:8225
協定:TCP
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "Socks5Proxy"="原病毒副本所在路徑"
