病毒名称: Trojan-Dropper.Win32.Delf.nk
病毒类型: 木马
文件MD5: 0DFD030F22A4E51076C21D5A32CA6AA2
公开范围: 完全公开
危害等级: 中
文件长度: 432,128 字节
感染系统: windows 98 及以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 未知壳
命名对照: Symentec[无]
Mcafee[无]
病毒描述:
该病毒属木马类,病毒运行后会复制原病毒副本到%windir%g_server.exe,该文件主要用于实现后门。并释放另外一个配置文件%windir%g_server.dll,该文件主要用于实现隐藏功能。而后修改注册表键,尝试连接网络,收集感染主机的敏感信息。该病毒还具有后门功能,病毒开启本地1080端口等待恶意用户的连接,恶意用户能够对感染主机执行任意操作。该病毒对用户有一定的危害。
行为分析:
1、病毒运行后,释放病毒文件到:
%windir%g_server.dll
%windir%g_server.exe
2、修改注册表文件:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
GrayPigeonServerImagePath
键值: 字串: C:WINNTG_Server.exe
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
GrayPigeonServerDisplayName
键值: 字串: "Gray_Pigeon_Server"
3、开启本地1080端口,等待恶意用户的连接。恶意用户可以对感染主机执行任意操作,如:删除、下载并执行文件等。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件:
%windir%g_server.dll
%windir%g_server.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
GrayPigeonServerImagePath
键值: 字串: C:WINNTG_Server.exe
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
GrayPigeonServerDisplayName
键值: 字串: "Gray_Pigeon_Server"