病毒名称: Worm.Win32.Delf.bo
病毒类型: 蠕虫
文件 MD5: 54179FA38F3D19659DC3040BC3397EFE
公开范围: 完全公开
危害等级: 4
文件长度: 76,288 字节
感染系统: Win9X以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
病毒描述:
该病毒属蠕虫类,病毒图标使用 IE 图标,用以迷惑用户点击。病毒运行后衍生病毒文件到系统目录下,修改注册表,添加启动项,以达到随机启动的目的。尝试结束杀毒软件及辅助工具的进程。 开启 IEXPLORER.EXE 进程,把病毒衍生的文件 death.dll 插入到 IEXPLORER.EXE 中。
行为分析:
1 、 病毒运行后衍生病毒文件到系统目录下:
%system32%death.dll
%system32%death.exe
%system32%death.sishen
2 、 修改注册表,添加启动项,以达到随机启动的目的:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "Death.exe"="C:WINDOWSsystem32Death.exe"
3 、 尝试结束杀毒软件及辅助工具的进程:
PasswordGuard.exe
KVXP.KXP
KVMonXP.KXPSymantec AntiVirus 企业
Symantec AntiVirus 企业版
RavMon.exe
RavMonClassTfLockDownMain
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天网防火墙个人版
Tapplication
天网防火墙企业版
Tapplication
VirusScan
Symantec AntiVirus
Duba
Wrapped gift KillerIceSword
IceSword
pjf(ustc)
TForm1
噬菌体
木马克星
EGHOST.EXE
KAVPFW.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
NAVAPW32.EXE
nod32kui.exe
od32kru.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmon.exe
KVXP.kxp
KVCenter.kxp
KRegEx.exe
UIHost.exe
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
runiep.exe
NoRealMode
时监视
ift KillerIceSword
lerIceSword
P3 2.EXE
CC .EXE
Ravmon.exe
4 、 结束威金病毒的进程:
Logo1_.exe
Logo_1.exe
Rundl132.exe
5 、 开启 IEXPLORER.EXE 进程,把病毒衍生的文件 death.dll 插入到 IEXPLORER.EXE 中。
6 、 指定时间向外发送攻击包。
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 , windows95/98/me 中默认的安装路径是 C:WindowsSystem , windowsXP 中默认的安装路径是 C:WindowsSystem32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程
(2) 删除病毒文件:
%system32%death.dll
%system32%death.exe
%system32%death.sishen
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
键值 : 字串 : "Death.exe"="C:WINDOWSsystem32Death.exe"