Worm.Win32.Delf.by

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Worm.Win32.Delf.by

中文名称：酷猪

病毒类型：蠕虫类

文件 MD5： 354861D7F587F1553FBBF6779426EDE8

公开范围：完全公开

危害等级： 4

文件长度：加壳后 51,840 字节，脱壳后241,664 字节

感染系统： Win9X以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： Upack 0.3.9 beta2s -> Dwing

命名对照： NORMAN [Virus W32/Downloader]

BitDefender[ BehavesLike:Trojan.Downloader]

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。

病毒自动从某服务器下载大量盗号程序到本机运行，试图截获用户游戏帐号信息发送出去。

行为分析：

1 、衍生下列副本与文件：

%WinDir%cmdbcs.exe

%WinDir%Kvsc3.exe

%WinDir%msccrt.exe

%WinDir%msppds.exe

%WinDir%shualai.exe

%WinDir%winform.exe

%System32%cmdbcs.dll

%System32%explorer.exe

%System32%kupini.dll

%System32%Kvsc3.dll

%System32%msccrt.dll

%System32%msppds.dll

%System32%shualai.dll

%System32%winform.dll

%DOCUME~1% 当前用户名 LOCALS~1Tempupxdnd.exe

2 、新建注册表键值：

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{ DD7D4640-4464-48C0-82F D-21338366D2D2 }InProcServer32@

Value: String: "C:Program FilesInternet ExplorerMoWang.tdm"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{ DD7D4640-4464-48C0-82FD-21338366D2D2 }InProcServer32ThreadingModel

Value: String: "Apartment"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

ShellExecuteHooks{ 42A612A4-4334-4424-4234-42261A31A236 }

Value: String: "pdkpri.dll"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

ShellExecuteHooks{ DD7D4640-4464-48C0-82FD-21338366D2D2 }

Value: String: ""

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuncmdbcs

Value: String: "WINDIRcmdbcs.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunKvsc3

Value: String: "WINDIRKvsc3.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmsccrt

Value: String: "WINDIRmsccrt.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmsppds

Value: String: "WINDIRmsppds.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunshualai

Value: String: "WINDIRshualai.exe /i"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunupxdnd

Value: String: "%DOCUME~1% 当前用户名 LOCALS~1Tempupxdnd.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunwinform

Value: String: "WINDIRwinform.exe"

3 、从下列地址下载病毒体：

Host: n*w.h*ck*p.com/down.txt 内容为动态更新的病毒体地址列表 :

http://n*w.h*ck*p.com/ma/1.exe

http://n*w.h*ck*p.com/ma/2.exe

http://n*w.h*ck*p.com/ma/3.exe

http://n*w.h*ck*p.com/ma/4.exe

http://n*w.h*ck*p.com/ma/6.exe

http://n*w.h*ck*p.com/ma/7.exe

http://n*w.h*ck*p.com/ma/8.exe

http://n*w.h*ck*p.com/ma/Ie.Exe

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线断开网络，结束病毒进程：

%WinDir%cmdbcs.exe

%WinDir%Kvsc3.exe

%WinDir%msccrt.exe

%WinDir%msppds.exe

%WinDir%shualai.exe

%WinDir%winform.exe

(2) 删除并恢复病毒添加与修改的注册表键值：

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{ DD7D4640-4464-48C 0-82F D-21338366D2D2 }

InProcServer32@

Value: String: "C:Program FilesInternetExplorer

MoWang.tdm"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{ DD7D4640-4464-48C0-82FD-21338366D2D2 }

InProcServer32ThreadingModel

Value: String: "Apartment"