彻底摆脱autorun.inf的诱惑一、 病毒标签：病毒名称： Trojan-Downloader.Win32.Delf.bnj

病毒类型： 木马/下载者

文件大小 :

18248 byte

文件类型 :
 
Microsoft Cabinet file, 18248 bytes, 1 file

MD5 :

13bb38ce47e3a39191a63813a954ff82

SHA1 :

5e25885daa3768617a96332f7fe84b61b11aa0bc

公开范围： 完全公开危害等级： C

加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24壳命名对照：

金山毒霸

2008.1.14.15

2008.5.22.11

2008-05-22

Win32.PSWTroj.Delf.wt.99604

2.672

二、 病毒描述：

 该病毒为下载者，运行后会连接网络下载其他病毒，并且释放DLL插入EXPLORER截获盗取密码信息。

三、 行为分析：

运行后释放病毒文件：

c:\Documents and Settings\Administrator\Local Settings\Temp\vip.dll

Date: 5-22-2008 9:43 PM

Size: 26,055 bytes

将该DLL插入EXPLORER截获敏感信息。

然后连接网络下载病毒：

exe">http://www.hitech-industries.com/1.exe

exe">http://www.hitech-industries.com/2.exe

exe">http://www.hitech-industries.com/3.exe

增加启动项目：

HKEY_CLASSES_ROOT\CLSID\{389D71CA-DBAE-4C24-AF3B-CB9E2817195A} "(Default)"

Type: REG_SZ

Data: SDFFG

HKEY_CLASSES_ROOT\CLSID\{389D71CA-DBAE-4C24-AF3B-CB9E2817195A}\inProCserveR32 "(Default)"

Type: REG_SZ

Data: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vip.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "{389D71CA-DBAE-4C24-AF3B-CB9E2817195A}"

Type: REG_SZ

Data: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vip.dll

解决方案：

删除C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vip.dll

删除注册表项目：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "{389D71CA-DBAE-4C24-AF3B-CB9E2817195A}"

HKEY_CLASSES_ROOT\CLSID\{389D71CA-DBAE-4C24-AF3B-CB9E2817195A}