Backdoor.Win32.Delf.avu

病毒名称： Backdoor.Win32.Delf.avu

病毒类型： 后门

文件 MD5： EDA53FC92244C06CA8F70AAD1F8DBB4C

公开范围： 完全公开

危害等级： 4

文件长度： 742,400 字节

感染系统： windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： 无

命名对照： AVAST [ Win32:Hupigon-FB ]

病毒描述：

该病毒属后门类，病毒图片为 QQ 图标，用以迷惑用户点击。病毒运行后衍生病毒文件，在每个磁盘根目录下建立一个 autorun.inf 的配置文件，会出现双击磁盘无法打开的效果，并且每当双击磁盘时，病毒都会运行一遍。修改注册表，创建服务，并以服务的方式达到随机启动的目的。该病毒利用移动设备进行传播。

行为分析：

1 、病毒运行后衍生病毒文件：

X:autorun.vbs

X:AUTORUN.INF

X:AUTORUN.exe

X:autorun.bat

%Program Files%Common FilesMicrosoft SharedMSInfosvchost.exe

注："X:/"为所有盘符根目录。

2 、修改注册表：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Update

键值 : 字串 : "Description"=" 提供最近的关键和安全更新，

设备驱动程序，和其它对您的 Windows 计 "

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Update

键值 : 字串 : "ImagePath"="C:Program FilesCommon Files

Microsoft Shared MSINFOsvchost.exe"

3 、创建服务，并以服务的方式达到随机启动的目的：

服务名称： Windows Update

显示名称： Windows Update

描述：提供最近的关键和安全更新，设备驱动程序，和其它对您的 Windows 计

可执行文件的路径： %Program Files%Common FilesMicrosoft Shared

MSINFOsvchost.exe

启动方式：自动

4 、该病毒利用 U 盘等移动设置进行传播：

当移动硬盘接入中毒计算机后，病毒会自动在移动硬盘根目录下创建 AUTORUN.INF 配置文件，

并复制 autorun.exe 。使移动硬盘感染。当此移动硬盘接入其他电脑后，双击移动硬盘便会执行 autorun.inf 的配置文件，运行病毒 autorun.exe 。从而进行传播感染。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

--------------------------------------------------------------------------------

清除方案：

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程

(2) 删除病毒文件

X:autorun.vbs

X:AUTORUN.INF

X:AUTORUN.exe

X:autorun.bat

%Program Files%Common FilesMicrosoft Shared

MSInfosvchost.exe

右键打开磁盘，删除每个盘符下的 autorun 文件。

注：删除 autorun 期间请勿双击盘符。

(3) 禁止服务：

禁止服务： Windows Update

把 Windows Update 服务的启动方式改为：已禁止