» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 木马程序Trojan-Downloader.Win32.Delf.iha   作者: 标题: 木马程序Trojan-Downloader.Win32.Delf.iha pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  木马程序Trojan-Downloader.Win32.Delf.iha 病毒名称 Trojan-Downloader.Win32.Delf.iha 捕获时间 2007-12-15 病毒症状      该病毒是使用Delphi编写的下载程序，采用NSPack加壳方式试图躲避特征码扫描,加壳后长度为24,576字节，使用Windows默认可执行文件图标，病毒扩展名为exe，主要通过局域网、移动存储介质等方式传播。     病毒分析     该程序被激活后，检测当前进程中是否存在AVP.exe，若存在则修改当前系统时间，使其不能正常运行，如果不存在avp.exe则直接执行如下动作：休眠120000ms，拷贝自身到C:\Program Files\Common Files\Services\目录下，修改属性为隐藏和系统；通过修改注册表启动项达到随系统启动的目的；通过命令行的方式关闭如下服务：Norton Antivirus Auto Protect Service、mcshield、Windows Firewall/Internet Connection Sharing (ICS)、System Restore Service；遍历进程关闭部分安全软件进程；查找窗口名或类名为如下字符的窗口（详细请参看技术细节），通过发送退出消息将其关闭；拷贝系统system32目录下的urlmon.dll重命名为DirectX10.dll；通过查找注册表的方式判断系统中是否安装以下程序：QQ.EXE、MSMSGS.EXE、FLASHGET.EXE、THUNDER5.EXE、IEXPLORE.EXE，若安装则通过遍历进程的方式判断此程序当前是否运行，如果未运行则开启对应进程,并将DirectX10.dll故意注入到该进程中；读取下载列表下载其他的病毒和木马程序存放在本地系统目录C:\Program Files\Internet Explorer\PLUGINS\下并运行；遍历盘符在移动存储介质中释放隐藏病毒文件IO.pif和autorun.inf，通过使用Windows自动播放功能来传播病毒；遍历局域网可用共享，以达到在局域网传播的目的。 感染对象 Windows 98/Windows Me/Windows 2000/Windows XP/Windows 2003 传播途径 局域网、移动存储介质 安全提示 已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”，请直接选择删除处理（如图1）； 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Downloader.Win32.Delf.iha”，请直接选择删除（如图2）。 对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统； 2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 4、开启windows自动更新，及时打好漏洞补丁。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-15 17:50 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   技术细节 病毒修改的注册表项： 项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ 键值：默认 指向文件：C:\Program Files\Common Files\Services\svchost.exe 被关闭的进程： regedit.exe msconfig.exe taskgmr.exe 360tray.exe 360safe.exe WoptiClean.exe EGHOST.EXE Iparmor.exe MAILMON.EXE KAVPFW.EXE RogueCleaner.exe 窗口名或类名： Windows Security Center NOD32KrnSvcWndClass Q360SafeMainClass Symantec AntiVirus 企业版 LANDeskVPC32 Symantec AntiVirus TfLockDownMain ZAFrameWnd ZoneAlarm Tapplication 天网防火墙个人版 天网防火墙企业版 瑞星个人防火墙下载版 TFireWall_Form TForm1 噬菌体 木马克星 该病毒根据如下下载列表下载病毒木马文件： http://***.66ki.cn/ma/1.exe http://***.66ki.cn/ma/2.exe http://***.66ki.cn/ma/3.exe http://***.66ki.cn/ma/4.exe http://***.66ki.cn/ma/5.exe http://***.66ki.cn/ma/6.exe http://***.66ki.cn/ma/7.exe http://***.66ki.cn/ma/8.exe http://***.66ki.cn/ma/9.exe http://***.66ki.cn/ma/10.exe …… http://***.66ki.cn/ma/22.exe ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-15 17:52 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号