Trojan-Downloader.Win32.Delf.bho

 病毒名称： Trojan-Downloader.Win32.Delf.bho

中文名称： 下载者变种

病毒类型： 木马类

文件 MD5： 54416CD0214109236F61339C138BA5B2

公开范围： 完全公开

危害等级： 4

文件长度： 加壳后 16,602 字节，脱壳后113,152 字节

感染系统： Win9X以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： Upack 0.3.9 beta2s -> Dwing

命名对照： BitDefender [Generic.Malware.WBdld.2BFD9495]

 

病毒描述：

 该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随系统引导病毒体。病毒体自动连接某服务器下载病毒体到本机运行，下载的病毒体主要为网络游戏盗号程序，并扫描本机 IP所属的网段139端口，试图利用网络共享传播自身。值得注意的是，此病毒大量存在于利用最近的微软的ANI漏洞构造的图片与脚本中。

 

行为分析：

 1 、衍生下列副本与文件：

%WinDir%cmdbcs.exe Trojan-PSW.Win32.OnLineGames.es

%WinDir%mppds.exe Trojan-PSW.Win32.OnLineGames.lz

%WinDir%msccrt.exe Trojan-PSW.Win32.OnLineGames.es

%WinDir%shualai.exe Trojan-PSW.Win32.OnLineGames.es

%WinDir%winform.exe Trojan-PSW.Win32.OnLineGames.lc

%System32%8.exe Trojan-Dropper.Win32.Agent.bcv

%System32%cmdbcs.dll Trojan-PSW.Win32.OnLineGames.es

%System32%msccrt.dll Trojan-PSW.Win32.OnLineGames.es

%System32%servet.exe Trojan-Downloader.Win32.Delf.bho

%System32%shualai.dll Trojan-PSW.Win32.OnLineGames.lz

%System32%winform.dll Trojan-PSW.Win32.OnLineGames.lz

%ProgramFiles%Internet ExplorerMoWang.sys

%ProgramFiles%Internet ExplorerMoWang.tdm

2 、新建注册表键值：

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionPoliciesExplorer

unwm

Value: String: "%WINDIR%|Syswm6svchost.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsvc

Value: String: "C:DOCUME~1antiyLOCALS~1Tempie777.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuncmdbcs

Value: String: "%WINDIR%|cmdbcs.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmppds

Value: String: "%WINDIR%|mppds.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmsccrt

Value: String: "%WINDIR%|msccrt.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunshualai

Value: String: "%WINDIR%|shualai.exe /i"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunupxdndq

Value: String: "C:DOCUME~1antiyLOCALS~1Tempupxdndq.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunwinform

Value: String: "%WINDIR%|winform.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

ShellExecuteHooks{ DD7D4640-4464-48C0-82FD-21338366D2D2 }

Value: String: ""

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{ DD7D4640-4464-48C0-82FD-21338366D2D2 }InProcServer32@

Value: String: "C:Program FilesInternet ExplorerMoWang.tdm"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsDownDescription

Value: String: "Windows XP"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsDownDisplayName

Value: String: "Windows XP"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsDownImagePath

Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes

%WINDIR%|System32servet.exe.

3 、修改下列注册表键值：

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNPFDisplayName

New: String: "Netgroup Packet Filter"

Old: String: "NetGroup Packet Filter Driver"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNPFDisplayName

New: String: "Netgroup Packet Filter"

Old: String: "NetGroup Packet Filter Driver"

4 、从下列服务器下载文件到本机运行：

Host:

[url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3

*) /down1/1.exe

Host:

[url=http://www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe]www.1*d*m.com(2*2.7*.1*.3*)/down1/cha/0794.exe

Host:

[url=http://www.1*d*m.com(2*2.7*.1*.3]www.1*d*m.com(2*2.7*.1*.3

*) /houtai/kehu94/logo.Gif

Host:

[url=http://www.h*o1*3.com(61.1*5.1*3.5*)

5 、收集用户的 MAC 地址信息发送到下列 ASP 页面：

[url=http://www.1*d*m.com/houtai/kehu94/count/count.asp]http://www.1*d*m.com/houtai/kehu94/count/count.asp

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。 

 

--------------------------------------------------------------------------------

清除方案：

  1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程：

IEXPLORER.EXE

(2) 删除并恢复病毒添加与修改的注册表键值：

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionPoliciesExplorer

unwm

Value: String: "%WINDIR%|Syswm6svchost.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRunsvc

Value: String: "C:DOCUME~1antiyLOCALS~1Tempie777.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRuncmdbcs

Value: String: "%WINDIR%|cmdbcs.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunmppds

Value: String: "%WINDIR%|mppds.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunmsccrt

Value: String: "%WINDIR%|msccrt.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunshualai

Value: String: "%WINDIR%|shualai.exe /i"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunupxdndq

Value: String: "C:DOCUME~1antiyLOCALS~1Tempupxdndq.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunwinform

Value: String: "%WINDIR%|winform.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionExporerShellExecuteHooks

{ DD7D4640-4464-48C0-82FD-21338366D2D2 }

Value: String: ""

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{ DD7D4640-4464-48C0-82FD-21338366D2D2 }InProcServer32@

Value: String:

"C:Program FilesInternetExplorerMoWang.tdm"

HKEY_LOCAL_MACHINESYSTEMControlSet001Services

WindowsDownDescription

Value: String: "Windows XP"

HKEY_LOCAL_MACHINESYSTEMControlSet001Services

WindowsDownDisplayName

Value: String: "Windows XP"

HKEY_LOCAL_MACHINESYSTEMControlSet001Services

WindowsDownImagePath

Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes

%WINDIR%|System32servet.exe.

(3) 删除病毒释放文件：

%WinDir%cmdbcs.exe

%WinDir%mppds.exe

%WinDir%msccrt.exe

%WinDir%shualai.exe

%WinDir%winform.exe

%System32%8.exe

%System32%cmdbcs.dll

%System32%mppds.dll

%System32%msccrt.dll

%System32%servet.exe

%System32%shualai.dll

%System32%winform.dll

%ProgramFiles%Internet ExplorerMoWang.sys

%ProgramFiles%Internet ExplorerMoWang.tdm

• ·群体生物学
• ·根目录
• ·古茶树
• ·Backdoor.Win32.Graybird
• ·Trojan-PSW.Win32.Maran.
• ·萨拉丁
• ·刘兴祥
• ·刘兴恩
• ·Trojan-Dropper.Win32.Ag
• ·萧钟