Trojan-Downloader.Win32.Delf.bnc

病毒名称：Trojan-Downloader.Win32.Delf.bnc （Kaspersky）

病毒大小：24387 bytes

加壳方式：Upack

样本MD5：ea449fb9fa0912cc96a.ede1ec5842cad

样本SHA1：051c98415dd3d04eff3cb16f2415e4f7b25ad74f

编写语言：Borland Delphi 6.0-7.0

字串8

行为分析：

字串5

病毒运行后，创建.副本到：

%System32%wnipsvr.exe

并释放：

%System32%perefic.ini

记录病毒的版本信息 ，这个样本是11212 字串1

创建服务：

[HKLMSystemCurrentControlSetServices11111]

显示名：11111

描述：允许对T1BT名称解析的支持

可执行文件的路径：%System32%wnipsvr.exe 字串6

病毒会在各分区根目录.复制副本，创建autorun.inf实现自动播放时运行病毒的动作：

X:autorun.inf

X:Hide.exe

autorun内容：

[autorun]

open=Hide.exe

字串6

调用IE，连接网络下载其它病毒：

先下载http://www.ndnd.info/ad.txt

保存为：%ProgramFiles%ini.ini

里面记录的是病毒版本信息，这个样本是11212

下载：

http://xz.88889999.info/1.exe

http://xz.88889999.info/2.exe

http://xz.88889999.info/3.exe

http://xz.88889999.info/4.exe

http://xz.88889999.info/5.exe

http://xz.88889999.info/6.exe

http://xz.88889999.info/7.exe

http://xz.88889999.info/8.exe

http://xz.88889999.info/9.exe

http://xz.88889999.info/10.exe

http://xz.88889999.info/11.exe

http://xz.8888.9999.info/12.exe

http://xz.88889999.info/13.exe

http://xz.88889999.info/14.exe

http://xz.88889999.info/15.exe

http://xz.88889999.info/16.exe

http://xz.88889999.info/17.exe

http://xz.88889999.info/18.exe

http://xz.88889999.info/19.exe

http://xz.88889999.info/20.exe

保存为：

%ProgramFiles%pro1.exe

%ProgramFiles%pro2.exe

%ProgramFiles%pro3.exe

字串9

%ProgramFiles%pro4.exe

%ProgramFiles%pro5.exe

%ProgramFiles%pro6.exe

%ProgramFiles%pro7.exe

%ProgramFiles%pro8.exe

%ProgramFiles%pro9.exe

%ProgramFiles%pro10.exe

%ProgramFiles%pro11.exe

%ProgramFiles%pro12.exe

%ProgramFiles%pro13.exe

%ProgramFiles%pro14.exe

%ProgramFiles%pro15.exe

%ProgramFiles%pro16.exe

%ProgramFile.s%pro17.exe

%ProgramFiles%pro18.exe

%ProgramFiles%pro19.exe

%ProgramFiles%pro20.exe

调用cmd命令运行

下载的多是onlinegame一类盗号的和spy,delf类的病毒

字串5

调用cmd命令删除%ProgramFiles%ini.ini 字串6

病毒还会尝试关闭相关安全进程和相关窗体：

RavMon.exe

kvsrvxp.exe

kavstart.exe