微点交流论坛 - 病毒快报 - 木马下载器Trojan-Downloader.Win32.Delf.iul

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 木马下载器Trojan-Downloader.Win32.Delf.iul

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 木马下载器Trojan-Downloader.Win32.Delf.iul

病毒名称

Trojan-Downloader.Win32.Delf.iul

捕获时间

2007-02-04

病毒症状

该病毒是一个使用DELPHI编写的病毒程序，采用FSG V2.0加壳以躲过特征码扫描，加壳后长度为32，489字节，图标为windows默认可执行文件图标，病毒扩展名为exe，传播途径主要网页挂马、文件捆绑、移动存储。

病毒分析

当病毒被激活后，在C:\Program Files\Common Files的System和 Microsoft Shared目录下分别生成名为yyjnldu.exe和xnxlufi.exe的文件，其文件类型为隐藏的系统文件。修改注册表将yyjnldu.exe和xnxlufi.exe设为自启动项，使病毒能随系统启动而运行。通过修改注册表关闭自动更新，安全中心等多个WINDOWS服务。在HKLM下的Image File Execution Options项中新建多个项映像劫持各种杀毒软件和安全工具，使其不能运行。删除HKLM下的SafeBoot中的相关注册表项，使得用户无法进入系统的安全模式进行手工清理病毒。修改explorer相关注册表项，使得系统不显示隐藏文件，从而户无法查找病毒并删除文件。遍历D-Z盘，在各个盘符下生成autorun.inf和nhbivui.exe文件。修改注册表，开启系统可移动设备的自动播放功能，使得用户在使用移动设备时将启动病毒。强行关闭所有窗体名中含“木马”，“病毒”，“Virus”，“Trojan”，“Sysinternal”等字段的窗体。读取网络文件，下载各种木马和间谍程序并执行，盗取各种帐号信息。

感染对象

Windows 98\ Windows ME\Windows 2000/Windows XP/Windows 2003

传播途径

网页挂马，文件捆绑，移动存储

安全提示

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Downloader.Win32.Delf.iul”，请直接选择删除（如图2）。

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2008-2-5 18:52

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#2

技术细节

病毒增加的注册表项：
项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：mhlclyg
指向文件：C:\Program Files\Common Files\System\yyjnldu.exe

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：nhbivui
指向文件：C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe

病毒修改的注册表项：
项：HKLM\ software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
键值：CheckedValue
数值数据：0
项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
键值：NoDriveTypeAutoRun
数值数据：0

病毒删除的注册表项：
项：HKLM\ SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}

项：HKLM\ SYSTEM\ControlSet001\Control\SafeBoot\ Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}

项：HKLM\ SYSTEM\ CurrentControlSet\Control\SafeBoot\ Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}

项：HKLM\ SYSTEM\ CurrentControlSet\Control\SafeBoot\ Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}

映像劫持：
项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avp.exe

被映像劫持的程序还有：
Ras.exe avp.com runiep.exe PFW.exe FYFireWall.exe rfwmain.exe rfwsrv.exe KAVPF.exe KPFW32.exe nod32kui.exe nod32.exe Navapsvc.exe Navapw32.exe avconsol.exe webscanx.exe NPFMntor.exe vsstat.exe KPfwSvc.exe RavTask.exe Rav.exe RavMon.exe mmsk.exe WoptiClean.exe QQKav.exe QQDoctor.exe EGHOST.exe iparmo.exe adam.exe 360rpt.exe 360tray.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe AvMonitor.exe CCenter.exe ccSvcHst.exe FTCleanerShell.exe HijackThis.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32.exe KPFW32X.exe KPFWSvc.exe KRegEx.exe KRepair.com KsLoader.exe KvDetect.exe KVMonXP.kxp kvol.exe kvolself.exe KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe KvXP.kxp KWatch.exe KWatchX.exe MagicSet.exe mmqczj.exe PFWLiveUpdate.exe RavMonD.exe RegClean.exe RfwMain.exe RsAgent.exe safelive.exe shcfg32.exe SREng.EXE symlcsvc.exe TrojanDetector.exe Trojanwall.exe TrojDie.kxp UIHost.exe UmxAgent.exe UmxAttachment.exe UmxFwHlp.exe UmxPol.exe upiea.exe ArSwp.exe USBCleaner.exe rstrui.exe QQLiveUpdate.exe QQ UpdateCenter.exe

Autorun.inf文件内容如下：
[AutoRun]
open=nhbivui.exe
shell\open=打开(&O)
shell\open\Command=nhbivui.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=nhbivui.exe

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2008-2-5 18:53

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号