Trojan-Downloader.Win32.Delf.gen病毒分析

·	用SSM系统防火墙,跟流氓软件说
·	反病毒软件：2006最爱哪个？
·	Email-Worm.Win32.Ghost.X 分析
·	病毒是怎样破坏硬件的
·	Windows下的文件完整性检查工具
·	深入剖析MY123前生今世
·	用安全网关轻松搞定蠕虫病毒
·	对付MY123等主页锁定的终极一招
·	木马下载器sna.exe下载的隐匿木
·	Microsoft Windows Ndistapi.s

您现在的位置：中国网络信息安全联盟 >> 病毒·漏洞 >> 病毒防治 >> 文章正文

Trojan-Downloader.Win32.Delf.gen病毒分析

【字体：小大】

作者：DSW Aver… 文章来源：DSW Avert

超级巡警团队监控到 Trojan-Downloader.Win32.Delf.gen 变种以网站挂马方式传播，提醒广大网友注意防范。

一、病毒相关分析：

  病毒标签：
      病毒名称：Trojan-Downloader.Win32.Delf.gen
      病毒类型：木马
      危害级别：3
      感染平台：Windows
        病毒大小：444,416(字节)
      SHA1　　：b3aa5cece664798ead6eb9dae8c11b83898338ca
      加壳类型：无
      开发工具：Borland Delphi 6.0 - 7.0

  病毒行为：
      1、恶意程序运行后，会释放以下文件：
         %System%\usmt\mig_hy.bk        444,416 字节     //恶意程序备份
         %System%\wbem\svchost.exe      444,416 字节
      2、修改注册表
         注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
         注册表值： tcpmg
             类型： REG_SZ
               值： %System%\wbem\svchost.exe
      3、尝试下载以下文件：
         http://www.coolmelife.com/download/srv.exe
         http://www.coolmelife.com/download/a.dll
         http://www.coolmelife.com/download/b.dll
         http://www.coolmelife.com/download/c.dll
         http://www.coolmelife.com/download/project2.exe
         //均未成功
         生成以下文件：
         %Temp%\~I7PRUGI1VAC.BaT                       12,891 字节
         %Temp%\~V5SFDYCLNTKs.VbS                      294 字节
         %Temp%\~V5SFDYCLNTKs.ExE                      294 字节
      4、访问http://www.ip686.com/popwin.js
         //此脚本指向通过Ms06-046漏洞传播的网页木马，下载恶意程序vip.exe
         http://219.129.239.191/web.htm
         http://219.129.239.191/vip2.htm
         http://219.129.239.191/vip1.htm
         http://219.129.239.191/vip.exe                 12,891 字节
      5、生成以下文件：
         %System%\CA2E57DE.EXE                          12,891 字节
         %System%\BA4DCF44.DLL                          32,768 字节
         执行CA2E57DE.EXE -d
         并将CA2E57DE.EXE加载为系统服务
         [HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\71BAD7C5]
         "Description"="BA4DCF44"
         "DisplayName"="71BAD7C5"
         "ImagePath"="C:\\WINDOWS\\System32\\CA2E57DE.EXE -d"
         "ObjectName"="LocalSystem"
      6、下载更新文件http://down.hunll.com/popwin/update.txt
         并下载以下恶意程序：
         http://219.129.239.191/cs/01mh.exe              12,537 字节
         http://219.129.239.191/cs/02jh.exe              14,740 字节
         http://219.129.239.191/cs/03ms.exe              15,216 字节
         http://219.129.239.191/cs/04wl.exe              14,088 字节
         http://219.129.239.191/cs/05gj.exe              12,964 字节
         http://219.129.239.191/cs/06qj.exe              12,656 字节
         http://219.129.239.191/cs/07zx.exe              13,880 字节
         http://219.129.239.191/cs/08zt.exe              14,100 字节
         http://219.129.239.191/cs/09dh.exe              12,063 字节
         http://219.129.239.191/cs/10my.exe              13,772 字节
         http://219.129.239.191/cs/11wd.exe              18,432 字节
         http://219.129.239.191/cs/12tl.exe              12,944 字节
         http://219.129.239.191/cs/13cq.exe              12,892 字节
         http://219.129.239.191/cs/14qq.exe              33,397 字节
         http://219.129.239.191/cs/15xx.exe              12,760 字节
         http://219.129.239.191/cs/16xx.exe              13,280 字节
         http://219.129.239.191/cs/17xx.exe              16,536 字节
         http://219.129.239.191/cs/18xx.exe              10,784 字节
         http://219.129.239.191/cs/19xx.exe              已失效
         http://219.129.239.191/cs/20xx.exe              18,432 字节
         http://219.129.239.191/cc/my_70084.exe          20,480 字节
         http://219.129.239.191/cc/dodolook4120.exe      已失效
         http://219.129.239.191/cc/ad_2311.exe           262,524 字节

二、解决方案

  推荐方案：
　　         1、安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　   　  　   超级巡警下载地址：http://www.dswlab.com/d1.html
　　         2、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽
　   　  　    http://www.ip686.com
　   　  　    http://www.coolmelife.com
　   　  　    http://219.129.239.191
　   　  　    http://down.hunll.com
　　         3、打开超级巡警，选择补丁检查功能，下载并安装Ms06-046用其他补丁。

三、安全建议：

　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。
　　     5、不要随意下载不安全网站的文件并运行。
　　     6、不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用
            超级巡警屏蔽恶意网站。
　　     7、下载和新拷贝的文件要首先进行查毒。
　　     8、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。
　　     9、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它：
　　     %SystemDrive% 　　     　　系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　WINDODWS系统目录
　　     %ProgramFiles%　　　　　　应用程序默认安装目录
　　     %AppData% 　　     　　     应用程序数据目录
　　     %CommonProgramFiles%　　    公用文件目录
　　     %HomePath% 　　     　　    当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　当前活动用户临时目录
　　     %DriveLetter% 　　     　　逻辑驱动器分区
　　     %HomeDrive% 　　　     　　当前用户系统所在分区

上一篇文章： QQ密码防盗专家教给您几招QQ防盗技巧

下一篇文章： Trojan-Downloader.Win32.Agent.dex（logogo.exe）解决方案

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】


				设为首页 / 加入收藏 / 联系站长 / 友情链接 / 版权申明
				信息产业部备案序列号：沪ICP备05030014号