Trojan-Downloader.Win32.Delf.iwi

病毒名称

Trojan-Downloader.Win32.Delf.iwi

病毒症状

该程序是使用Delphi编写的木马程序，采用UPX加壳试图躲避特征码扫描，加壳后长度21,504字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。

病毒分析

该样本被执行后，将驱动文件“~46.tmp”（46是一个随机值）释放到％Temp％目录下，调用SCM写注册表将~46.tmp注册成名为sys_flt的windows内核服务,并通过相关API启动；服务启动后创建磁盘设备“\\Device\\yyy2”，创建目录对象“\\Device\\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄；拷贝自身到开始->附件->启动组中，打开设备“\\Device\\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘，利用CopyFileA函数将“%Temp%\\~67.tmp”及启动组中的病毒文件拷贝到“\\\\.\\yyy2”中，以达到突破还原卡的目的；在“%SystemRoot%\\System32\\”下释放批处理文件Deletedll.bat，执行后删除“%Temp%\\~46.tmp”和Deletedll.bat；病毒调用API函数URLDownloadToFileA从网络上下载各种病毒到系统磁盘根目录下并执行。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马,文件捆绑

YissAi建议：

1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

3、开启windows自动更新，及时打好漏洞补丁。

技术细节

Deletedll.bat文件内容为：

:try

del "C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\~46.tmp"

if exist "C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\~46.tmp" goto try

del %0

病毒新建的注册表项：

项：HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\sys_flt

键值：Start（服务启动方式）

数值数据：00000002

键值：ImagePath（服务映像路径）

数值数据：%Temp%\\~46.tmp

键值：DisplayName（服务显示名称）

数值数据：sys_flt

键值：ObjectName（服务对象名称）

数值数据：LocalSystem

病毒下载木马的地址：

http://www.***168.cn/gaga/1.exe

http://www.***168.cn/gaga/2.exe

http://www.***168.cn/gaga/3.exe

http://www.********3.com/test/logonsvc.exe