Trojan-Downloader.Win32.Delf.bho
Trojan-Downloader.Win32.Delf.bho是一种病毒。该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随系统引导病毒体。病毒体自动连接某服务器下载病毒体到本机运行,下载的病毒体主要为网络游戏盗号程序,并扫描本机 IP所属的网段139端口,试图利用网络共享传播自身。值得注意的是,此病毒大量存在于利用最近的微软的ANI漏洞构造的图片与脚本中。
基本信息
Trojan-Downloader.Win32.Delf.bho
中文名称: 下载者变种
病毒类型: 木马类
文件 MD5: 54416CD0214109236F61339C138BA5B2
公开范围: 完全公开
危害等级: 4
文件长度: 加壳后 16,602 字节,脱壳后113,152 字节
感染系统: Win9X以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: Upack 0.3.9 beta2s -> Dwing
命名对照: BitDefender [Generic.Malware.WBdld.2BFD9495]
行为分析
衍生下列副本与文件
%WinDir%\\cmdbcs.exe Trojan-PSW.Win32.OnLineGames.es
%WinDir%\\mppds.exe Trojan-PSW.Win32.OnLineGames.lz
%WinDir%\\msccrt.exe Trojan-PSW.Win32.OnLineGames.es
%WinDir%\\shualai.exe Trojan-PSW.Win32.OnLineGames.es
%WinDir%\\winform.exe Trojan-PSW.Win32.OnLineGames.lc
%System32%\\8.exe Trojan-Dropper.Win32.Agent.bcv
%System32%\\cmdbcs.dll Trojan-PSW.Win32.OnLineGames.es
%System32%\\msccrt.dll Trojan-PSW.Win32.OnLineGames.es
%System32%\\servet.exe Trojan-Downloader.Win32.Delf.bho
%System32%\\shualai.dll Trojan-PSW.Win32.OnLineGames.lz
%System32%\\winform.dll Trojan-PSW.Win32.OnLineGames.lz
%ProgramFiles%\\Internet Explorer\\MoWang.sys
%ProgramFiles%\\Internet Explorer\\MoWang.tdm
新建注册表键值
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Policies\\Explorer\\run\\wm
Value: String: "%WINDIR%|Syswm6\\svchost.exe"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\svc
Value: String: "C:\\DOCUME~1\\antiy\\LOCALS~1\\Temp\\ie777.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\cmdbcs
Value: String: "%WINDIR%|cmdbcs.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\mppds
Value: String: "%WINDIR%|mppds.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\msccrt
Value: String: "%WINDIR%|msccrt.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\shualai
Value: String: "%WINDIR%|shualai.exe /i"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\upxdndq
Value: String: "C:\\DOCUME~1\\antiy\\LOCALS~1\\Temp\\upxdndq.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\winform
Value: String: "%WINDIR%|winform.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\
ShellExecuteHooks\\{ DD7D4640-4464-48C0-82FD-21338366D2D2 }
Value: String: ""
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\
{ DD7D4640-4464-48C0-82FD-21338366D2D2 }\\InProcServer32\\@
Value: String: "C:\\Program Files\\Internet Explorer\\MoWang.tdm"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WindowsDown\\Description
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WindowsDown\\DisplayName
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WindowsDown\\ImagePath
Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes
%WINDIR%|System32\\servet.exe.
修改下列注册表键值
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\NPF\\DisplayName
New: String: "Netgroup Packet Filter"
Old: String: "NetGroup Packet Filter Driver"
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NPF\\DisplayName
New: String: "Netgroup Packet Filter"
Old: String: "NetGroup Packet Filter Driver"
从下列服务器下载文件到本机运行
Host:
[url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3
*) /down1/1.exe
Host:
[url=http://www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe]www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe
Host:
[url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3
*) /houtai/kehu94/logo.Gif
Host:
[url=http://www.h*o1*3.com(61.1*5.1*3.5*)
5 、收集用户的 MAC 地址信息发送到下列 ASP 页面:
[url=http://www.1*d*m.com/houtai/kehu94/count/count.asp]http://www.1*d*m.com/houtai/kehu94/count/count.asp
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。
清除方案
1.使用杀毒软件
使用安天木马防线等杀毒软件可彻底清除此病毒
2.手工清除
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程:
IEXPLORER.EXE
(2) 删除并恢复病毒添加与修改的注册表键值:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Policies\\Explorer\\run\\wm
Value: String: "%WINDIR%|Syswm6\\svchost.exe"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run\\svc
Value: String: "C:\\DOCUME~1\\antiy\\LOCALS~1\\Temp\\ie777.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run\\cmdbcs
Value: String: "%WINDIR%|cmdbcs.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run\\mppds
Value: String: "%WINDIR%|mppds.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run\\msccrt
Value: String: "%WINDIR%|msccrt.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run\\shualai
Value: String: "%WINDIR%|shualai.exe /i"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run\\upxdndq
Value: String: "C:\\DOCUME~1\\antiy\\LOCALS~1\\Temp\\upxdndq.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run\\winform
Value: String: "%WINDIR%|winform.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Exporer\\ShellExecuteHooks\\
{ DD7D4640-4464-48C0-82FD-21338366D2D2 }
Value: String: ""
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\
{ DD7D4640-4464-48C0-82FD-21338366D2D2 }\\InProcServer32\\@
Value: String:
"C:\\Program Files\\InternetExplorer\\MoWang.tdm"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\
WindowsDown\\Description
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\
WindowsDown\\DisplayName
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\
WindowsDown\\ImagePath
Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes
%WINDIR%|System32\\servet.exe.
(3) 删除病毒释放文件:
%WinDir%\\cmdbcs.exe
%WinDir%\\mppds.exe
%WinDir%\\msccrt.exe
%WinDir%\\shualai.exe
%WinDir%\\winform.exe
%System32%\\8.exe
%System32%\\cmdbcs.dll
%System32%\\mppds.dll
%System32%\\msccrt.dll
%System32%\\servet.exe
%System32%\\shualai.dll
%System32%\\winform.dll
%ProgramFiles%\\Internet Explorer\\MoWang.sys
%ProgramFiles%\\Internet Explorer\\MoWang.tdm