DSWLAB::Trojan-Downloader.Win32.Delf.gen病毒分析

Trojan-Downloader.Win32.Delf.gen病毒分析

出处：DSW Avert 时间：2007年9月24日

超级巡警团队监控到 Trojan-Downloader.Win32.Delf.gen 变种以网站挂马方式传播，提醒广大网友注意防范。
	一、病毒相关分析：
	病毒标签：病毒名称：Trojan-Downloader.Win32.Delf.gen 病毒类型：木马危害级别：3 感染平台：Windows 病毒大小：444,416(字节) SHA1　　：b3aa5cece664798ead6eb9dae8c11b83898338ca 加壳类型：无开发工具：Borland Delphi 6.0 - 7.0
	病毒行为： 1、恶意程序运行后，会释放以下文件： %System%\usmt\mig_hy.bk 444,416 字节 //恶意程序备份 %System%\wbem\svchost.exe 444,416 字节 2、修改注册表注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 注册表值： tcpmg 类型： REG_SZ 值： %System%\wbem\svchost.exe 3、尝试下载以下文件： http://www.coolmelife.com/download/srv.exe http://www.coolmelife.com/download/a.dll http://www.coolmelife.com/download/b.dll http://www.coolmelife.com/download/c.dll http://www.coolmelife.com/download/project2.exe //均未成功生成以下文件： %Temp%\~I7PRUGI1VAC.BaT 12,891 字节 %Temp%\~V5SFDYCLNTKs.VbS 294 字节 %Temp%\~V5SFDYCLNTKs.ExE 294 字节 4、访问http://www.ip686.com/popwin.js //此脚本指向通过Ms06-046漏洞传播的网页木马，下载恶意程序vip.exe http://219.129.239.191/web.htm http://219.129.239.191/vip2.htm http://219.129.239.191/vip1.htm http://219.129.239.191/vip.exe 12,891 字节 5、生成以下文件： %System%\CA2E57DE.EXE 12,891 字节 %System%\BA4DCF44.DLL 32,768 字节执行CA2E57DE.EXE -d 并将CA2E57DE.EXE加载为系统服务 [HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\71BAD7C5] "Description"="BA4DCF44" "DisplayName"="71BAD7C5" "ImagePath"="C:\\WINDOWS\\System32\\CA2E57DE.EXE -d" "ObjectName"="LocalSystem" 6、下载更新文件http://down.hunll.com/popwin/update.txt 并下载以下恶意程序： http://219.129.239.191/cs/01mh.exe 12,537 字节 http://219.129.239.191/cs/02jh.exe 14,740 字节 http://219.129.239.191/cs/03ms.exe 15,216 字节 http://219.129.239.191/cs/04wl.exe 14,088 字节 http://219.129.239.191/cs/05gj.exe 12,964 字节 http://219.129.239.191/cs/06qj.exe 12,656 字节 http://219.129.239.191/cs/07zx.exe 13,880 字节 http://219.129.239.191/cs/08zt.exe 14,100 字节 http://219.129.239.191/cs/09dh.exe 12,063 字节 http://219.129.239.191/cs/10my.exe 13,772 字节 http://219.129.239.191/cs/11wd.exe 18,432 字节 http://219.129.239.191/cs/12tl.exe 12,944 字节 http://219.129.239.191/cs/13cq.exe 12,892 字节 http://219.129.239.191/cs/14qq.exe 33,397 字节 http://219.129.239.191/cs/15xx.exe 12,760 字节 http://219.129.239.191/cs/16xx.exe 13,280 字节 http://219.129.239.191/cs/17xx.exe 16,536 字节 http://219.129.239.191/cs/18xx.exe 10,784 字节 http://219.129.239.191/cs/19xx.exe 已失效 http://219.129.239.191/cs/20xx.exe 18,432 字节 http://219.129.239.191/cc/my_70084.exe 20,480 字节 http://219.129.239.191/cc/dodolook4120.exe 已失效 http://219.129.239.191/cc/ad_2311.exe 262,524 字节
	二、解决方案
	推荐方案：　　 1、安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。　　　超级巡警下载地址：http://www.dswlab.com/d1.html 　　 2、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽　　　 http://www.ip686.com 　　　 http://www.coolmelife.com 　　　 http://219.129.239.191 　　　 http://down.hunll.com 　　 3、打开超级巡警，选择补丁检查功能，下载并安装Ms06-046用其他补丁。

	三、安全建议：
	1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。　　 2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。　　 3、使用超级巡警的补丁检查功能，及时安装系统补丁。　　 4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。　　 5、不要随意下载不安全网站的文件并运行。　　 6、不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用超级巡警屏蔽恶意网站。　　 7、下载和新拷贝的文件要首先进行查毒。　　 8、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。　　 9、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。
	注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它：　　 %SystemDrive% 　　　　系统安装的磁盘分区　　 %SystemRoot% = %Windir% 　　WINDODWS系统目录　　 %ProgramFiles%　　　　　　应用程序默认安装目录　　 %AppData% 　　　　应用程序数据目录　　 %CommonProgramFiles%　　公用文件目录　　 %HomePath% 　　　　当前活动用户目录　　 %Temp% =%Tmp% 　　　　当前活动用户临时目录　　 %DriveLetter% 　　　　逻辑驱动器分区　　 %HomeDrive% 　　　　　当前用户系统所在分区

    超级巡警：彻底查杀各种木马，全面保护系统安全。
    更多免费工具下载：http://www.dswlab.com
    专业的桌面与内容安全产品：http://www.unnoo.com