Trojan-Downloader.Win32.Delf.avn

病毒名称： Trojan-Downloader.Win32.Delf.avn

病毒类型： 木马

文件 MD5： 41B943A8EB3928B4C336841A6288EFFA

公开范围： 完全公开

危害等级： 中

文件长度： 10,752 字节

感染系统： windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： UPX 0.89.6 - 1.02

命名对照： Symentec[Infostealer]

Mcafee[无]

病毒描述：

该病毒属木马类，病毒运行后连接网络，下载病毒文件并运行，修改注册表，添加启动项，以达到随机启动的目的，修改可执行程序的打开方式，造成部分可执行程序无法使用。下载的病毒文件可以记录键盘操作，从而盗取用户的敏感信息，网络游戏魔兽世界、传奇、QQ等账号及密码，并保存到文件中，以邮件的形式发送给病毒作者。病毒进程在任务管理器中显示为LSASS.EXE与系统进程lsass.exe相近，用以迷惑用户，他们的区别是大小写及用户名。

行为分析：

1、病毒运行后连接网络、下载病毒文件：

协议：TCP

IP：222.208.183.199:80(四川省眉山市电信)

域名：http://down.136136.net

相关下载：http://down.136136.net/down/host.txt

http://down.136136.net/down/

updateupdatexxd.exe

updateupdatexdxd.exe

updateupdatexdxd4.exe

本地端口：随机开启本地1024以上端口，如：1158

下载病毒文件路径名

%windir%exert.exe

%windir%io.sys.bak

%windir%lsass.exe

%system32%dxdiag.com

%system32%msconfig.com

%system32%msime.exe

%system32%

tdhcp.exe

%system32%

egedit.com

病毒名

Trojan-PSW.Win32.WOW.m

Trojan-PSW.Win32.WOW.m

Trojan-PSW.Win32.WOW.m

Trojan-PSW.Win32.WOW.m

Trojan-PSW.Win32.Lmir.awg

Trojan-PSW.Win32.QQRob.ha

Trojan-PSW.Win32.WOW.m

描述

盗取魔兽世界账号与密码

保存记录键盘操作

盗取魔兽世界账号与密码

盗取魔兽世界账号与密码

盗取魔兽世界账号与密码

盗取传奇账号与密码

盗取QQ账号与密码

盗取魔兽世界账号与密码

2、修改注册表，添加启动项，以达到随机启动的目的：

新建注册表项：

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

键值: 字串: "Check_Associations "="No"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICacheC:Program Filescommon~1

键值: 字串: "INTEXPLORE.pif "="INTEXPLORE"

HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

Microsoft Soft DebugerSettings

键值: 字串: "GUID"="{328E1Q-0OP0K4-BYDP3D-OX0426-8JFO39}"

HKEY_LOCAL_MACHINESOFTWAREClassesWindowFilesDefaultIcon

键值: 字串: "@"="%1"

HKEY_LOCAL_MACHINESOFTWAREClassesWindowFilesShellOpenCommand

键值: 字串: "@"="C:WINDOWSEXERT.exe "%1" %*"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

INTEXPLORE.pif

键值: 字串: "LocalizedString "="INTEXPLORE"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

INTEXPLORE.pifshellopencommand

键值: 字串: "@"=""C:Program Filescommon~1INTEXPLORE.pif""

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

policiesExplorerRun

键值: 字串: " KernelFaultCheck " ="C:WINDOWSsystem32msime.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

键值: 字串: " NTdhcp " ="C:WINDOWSsystem32NTdhcp.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

键值: 字串: " ToP " ="C:WINDOWSLSASS.exe"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceskmixerEnum

键值: 字串: " 0" ="SW{b7eafdc0-a680-11d0-96d8-00aa0051e51d}

{9B365890-165F-11D0-A195-0020AFD156E4}"

修改注册表项，修改可执行程序的打开方式，造成部分可执行程序无法使用：

HKEY_LOCAL_MACHINESOFTWAREClasses.exe

新建键值: 字串: "@"="WindowFiles"

原键值: 字串: "@"="exefile"

HKEY_LOCAL_MACHINESOFTWAREClassesApplications

iexplore.exeshellopencommand

新建键值: 字串: "@"=""C:Program FilesInternet Explorer

INTEXPLORE.com" %1"

原键值: 字串: "@"=""C:Program FilesInternet Explorer

iexplore.exe" %1"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{871C5380-

42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand

新建键值: 字串: "@"=""C:Program FilesInternet Explorer

INTEXPLORE.com""

旧: 类型: "@"="C:Program FilesInternet Explorer

iexplore.exe".

HKEY_LOCAL_MACHINESOFTWAREClassesftpshellopencommand

新建键值: 字串: "@"=""C:Program FilesInternet Explorer

INTEXPLORE.com" %1"

原键值: 字串: "@"=""C:Program FilesInternet Exploreriexplore.exe" %1"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshellopen

command

新建键值: 字串: "@"=""C:Program FilesInternet Explorer

INTEXPLORE.com" -nohome"

原键值: 字串: "@"=""C:Program FilesInternet Explorer

iexplore.exe" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshell

opennewcommand

新建键值: 字串: "@"=""C:Program Filescommon~1

INTEXPLORE.pif" %1"

原键值: 字串: "@"=""C:Program FilesInternet Explorer

iexplore.exe" %1"

HKEY_LOCAL_MACHINESOFTWAREClassesHTTPshell

opencommand

新建键值: 字串: "@"=""C:Program Filescommon~1

INTEXPLORE.pif" -nohome"

原键值: 字串: "@"=""C:Program FilesInternet Explorer

iexplore.exe" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

新建键值: 字串: "@"="INTEXPLORE.pif"

原键值: 字串: "@"="IEXPLORE.EXE"

3、下载的病毒文件可以记录键盘操作，从而盗取用户的敏感信息，网络游戏魔兽世界、传奇、QQ等账号及密码，并保存到文件中，以邮件的形式发送给病毒作者。

邮箱地址：fuccvknet@163.com

4、病毒进程在任务管理器中显示为LSASS.EXE与系统进程lsass.exe相近，用以迷惑用户，他们的区别是大小写及用户名。

注：%windir%是一个可变路径。病毒通过查询操作系统来决定当前windows文件夹的位置。Windows2000/NT中默认的安装路径是C:Winnt，windows95/98/me/xp中默认的安装路径是C:Windows。

% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%windir%exert.exe

%windir%io.sys.bak

%windir%lsass.exe

%system32%dxdiag.com

%system32%msconfig.com

%system32%msime.exe

%system32%

tdhcp.exe

%system32%

egedit.com

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

恢复以下被修改的注册表项：

HKEY_LOCAL_MACHINESOFTWAREClasses.exe

新建键值: 字串: "@"="WindowFiles"

原键值: 字串: "@"="exefile"

HKEY_LOCAL_MACHINESOFTWAREClassesApplications

iexplore.exeshellopencommand

新建键值: 字串: "@"=""C:Program FilesInternet

ExplorerINTEXPLORE.com" %1"

原键值: 字串: "@"=""C:Program FilesInternet

Exploreriexplore.exe" %1"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{871C5380-42A0-1069-A2EA-08002B30309D}shell

OpenHomePageCommand

新建键值: 字串: "@"=""C:Program FilesInternet

ExplorerINTEXPLORE.com""

旧: 类型: "@"="C:Program FilesInternet Explore

riexplore.exe".

HKEY_LOCAL_MACHINESOFTWAREClassesftpshell

opencommand

新建键值: 字串: "@"=""C:Program FilesInternet

ExplorerINTEXPLORE.com" %1"

原键值: 字串: "@"=""C:Program FilesInternet

Exploreriexplore.exe" %1"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfile

shellopencommand

新建键值: 字串: "@"=""C:Program FilesInternet

ExplorerINTEXPLORE.com" -nohome"

原键值: 字串: "@"=""C:Program FilesInternet

Exploreriexplore.exe" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfile

shellopennewcommand

新建键值: 字串: "@"=""C:Program Filescommon~1

INTEXPLORE.pif" %1"

原键值: 字串: "@"=""C:Program FilesInternet

Exploreriexplore.exe" %1"、

HKEY_LOCAL_MACHINESOFTWAREClassesHTTPshell

opencommand

新建键值: 字串: "@"=""C:Program Filescommon~1

INTEXPLORE.pif" -nohome"

原键值: 字串: "@"=""C:Program FilesInternet

Exploreriexplore.exe" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

新建键值: 字串: "@"="INTEXPLORE.pif"

原键值: 字串: "@"="IEXPLORE.EXE"

删除以下注册表项：

HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

Main

键值: 字串: "Check_Associations "="No"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICacheC:Program Filescommon~1

键值: 字串: "INTEXPLORE.pif "="INTEXPLORE"

HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

Microsoft Soft DebugerSettings

键值: 字串: "GUID"="{328E1Q-0OP0K4-BYDP3D-OX0426-8JFO39}"

HKEY_LOCAL_MACHINESOFTWAREClassesWindowFiles

DefaultIcon

键值: 字串: "@"="%1"

HKEY_LOCAL_MACHINESOFTWAREClassesWindowFiles

ShellOpenCommand

键值: 字串: "@"="C:WINDOWSEXERT.exe "%1" %*"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

INTEXPLORE.pif

键值: 字串: "LocalizedString "="INTEXPLORE"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

INTEXPLORE.pifshellopencommand

键值: 字串: "@"=""C:Program Filescommon~1

INTEXPLORE.pif""

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionpoliciesExplorerRun

键值: 字串: " KernelFaultCheck " ="C:WINDOWS

system32msime.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun

键值: 字串: " NTdhcp " ="C:WINDOWSsystem32

NTdhcp.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun

键值: 字串: " ToP " ="C:WINDOWSLSASS.exe"

HKEY_LOCAL_MACHINESYSTEMControlSet001Services

kmixerEnum

键值: 字串: " 0" ="SW{b7eafdc0-a680-11d0-96d8-00aa0051e51d}

{9B365890-165F-11D0-A195-0020AFD156E4}"

• ·长穗兔儿风
• ·长叶酸藤子果
• ·高沟镇
• ·信义宗
• ·长果柄山蚂蝗
• ·实德二线队
• ·Backdoor.Win32.FireFly.
• ·Backdoor.Win32.Rbot.gen
• ·Trojan-Downloader.JS.Sm
• ·Trojan-PSW.Win32.QQDrag