欢迎您访问本站首页笑话数码汽车珠宝手机购车首饰美妆装修厨房科普编程导购空间导购百科知道词典繁体王朝搜索

当前位置: 王朝网络 >> 王朝百科 >> Trojan-Downloader.Win32.Delf.bnc

Trojan-Downloader.Win32.Delf.bnc

王朝百科·作者佚名 2010-02-26

宽屏版字体: 小|中|大|超大

病毒名称：Trojan-Downloader.Win32.Delf.bnc （Kaspersky）

病毒大小：24387 bytes

加壳方式：Upack

样本MD5：ea449fb9fa0912cc96a.ede1ec5842cad

样本SHA1：051c98415dd3d04eff3cb16f2415e4f7b25ad74f

编写语言：Borland Delphi 6.0-7.0

字串8

行为分析：

字串5

病毒运行后，创建.副本到：

%System32%wnipsvr.exe

并释放：

%System32%perefic.ini

记录病毒的版本信息，这个样本是11212 字串1

创建服务：

[HKLMSystemCurrentControlSetServices11111]

显示名：11111

描述：允许对T1BT名称解析的支持

可执行文件的路径：%System32%wnipsvr.exe 字串6

病毒会在各分区根目录.复制副本，创建autorun.inf实现自动播放时运行病毒的动作：

X:autorun.inf

X:Hide.exe

autorun内容：

[autorun]

open=Hide.exe

字串6

调用IE，连接网络下载其它病毒：

先下载http://www.ndnd.info/ad.txt

保存为：%ProgramFiles%ini.ini

里面记录的是病毒版本信息，这个样本是11212

下载：

http://xz.88889999.info/1.exe

http://xz.88889999.info/2.exe

http://xz.88889999.info/3.exe

http://xz.88889999.info/4.exe

http://xz.88889999.info/5.exe

http://xz.88889999.info/6.exe

http://xz.88889999.info/7.exe

http://xz.88889999.info/8.exe

http://xz.88889999.info/9.exe

http://xz.88889999.info/10.exe

http://xz.88889999.info/11.exe

http://xz.8888.9999.info/12.exe

http://xz.88889999.info/13.exe

http://xz.88889999.info/14.exe

http://xz.88889999.info/15.exe

http://xz.88889999.info/16.exe

http://xz.88889999.info/17.exe

http://xz.88889999.info/18.exe

http://xz.88889999.info/19.exe

http://xz.88889999.info/20.exe

保存为：

%ProgramFiles%pro1.exe

%ProgramFiles%pro2.exe

%ProgramFiles%pro3.exe

字串9

%ProgramFiles%pro4.exe

%ProgramFiles%pro5.exe

%ProgramFiles%pro6.exe

%ProgramFiles%pro7.exe

%ProgramFiles%pro8.exe

%ProgramFiles%pro9.exe

%ProgramFiles%pro10.exe

%ProgramFiles%pro11.exe

%ProgramFiles%pro12.exe

%ProgramFiles%pro13.exe

%ProgramFiles%pro14.exe

%ProgramFiles%pro15.exe

%ProgramFiles%pro16.exe

%ProgramFile.s%pro17.exe

%ProgramFiles%pro18.exe

%ProgramFiles%pro19.exe

%ProgramFiles%pro20.exe

调用cmd命令运行

下载的多是onlinegame一类盗号的和spy,delf类的病毒

字串5

调用cmd命令删除%ProgramFiles%ini.ini 字串6

病毒还会尝试关闭相关安全进程和相关窗体：

RavMon.exe

kvsrvxp.exe

kavstart.exe

点击展开全文

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

如何用java替换看不见的字符比如零宽空格十六进制U+200B
干货 2023-09-10

网页字号不能单数吗，网页字体大小为什么一般都是偶数
干货 2023-09-06

java.lang.ArrayIndexOutOfBoundsException: 4096
干货 2023-09-06

Noto Sans CJK SC字体下载地址
干货 2023-08-30

window.navigator和navigator的区别是什么？
干货 2023-08-23

js获取referer、useragent、浏览器语言
干货 2023-08-23

oscache遇到404时会不会缓存？
干货 2023-08-23

linux下用rm -rf *删除大量文件太慢怎么解决？
干货 2023-08-08

刀郎新歌破世界纪录！
娱乐 2023-08-01

js实现放大缩小页面
干货 2023-07-31

生成式人工智能服务管理暂行办法
百态 2023-07-31

英语学习：过去完成时The Past Perfect Tense举例说明
干货 2023-07-31

Mysql常用sql命令语句整理
干货 2023-07-30

科学家复活了46000年前的虫子
探索 2023-07-29

英语学习：过去进行时The Past Continuous Tense举例说明
干货 2023-07-28

meta name="applicable-device"告知页面适合哪种终端设备：PC端、移动端还是自适应
干货 2023-07-28

只用css如何实现打字机特效？
百态 2023-07-15

css怎么实现上下滚动
干货 2023-06-28

canvas怎么画一个三角形？
干货 2023-06-28

canvas怎么画一个椭圆形？
干货 2023-06-28

canvas怎么画一个圆形？
干货 2023-06-28

canvas怎么画一个正方形？
干货 2023-06-28

中国河南省郑州市金水区蜘蛛爬虫ip大全
干货 2023-06-22

javascript简易动态时间代码
干货 2023-06-20

感谢员工的付出和激励的话怎么说？
干货 2023-06-18

>>返回首页<<

关注内容

静静地坐在废墟上，四周的荒凉一望无际，忽然觉得，凄凉也很美