精典的ASP传奇的J2EE新生的NETFTP服务器服务器安全WINDOWSB/S 模式WEB安全WAP世界动态网站推广宣传
空间服务器数据库技术邮局服务器站長工具硬设与组建Alexa专题DHTML项目管理WEB标准电脑硬件
病毒知识电脑使用布线协议接入交换路由局域网无线网络网络规划
Visual BasicVisual C/C++MssqlMySqloracleSybase 存在安全风险进程系统进程列表应用程序进程列表其它进程列表
黑客编程漏洞分析本地提权免杀技术脚本漏洞数据库注入安全防护内网渗透加密解密工具使用
WAP技术WAP入门
 您的位置:   >> 相关知识 >> 病毒木马 >> 病毒知识 >>

Trojan-Downloader.Win32.Delf.bab

合金网络科技

  
  添加日期:2007-12-3 点击次数:14次  
   
  病毒名称: Trojan-Downloader.Win32.Delf.bab
病毒类型: 木马
文件 MD5: F8F7F58252BA88B69159C5FC87FAEC64
公开范围: 完全公开
危害等级: 3
文件长度: 44,032 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 无
命名对照: 驱逐舰[Trojan.Downloader.14163]
      BitDefender [Trojan.Downloader.Delf.UY]
  
病毒描述:
  该病毒属木马类,病毒运行后连接网络,下载病毒文件,并删除自身,修改注册表,添加启动项,以达到随机启动的目的。
  
行为分析:
1、病毒运行后连接网络,下载病毒文件,并删除自身:

IP:222.88.88.163
域名:www.e7kmm.com
下载地址:www.e7kmm.com/lfash.dll
下载的文件:
%system32%\flash.dllTrojan-PSW.Win32.Gadu.i

2、病毒运行后修改注册表,添加启动项,以达到随机启动的目的:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\\InprocServer32\
键值: 字串: '@'='C:\WINDOWS\system32\flash.dll'
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\\ProgID\
键值: 字串: '@'='flash.TAdKillerBHO'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Reporting\EventCache\9482f4b4
-e343-43b6-b170-9a65bc822c77\
键值: 字串: 'CurrentCacheFile'= 'C:\WINDOWS\SoftwareDistribution
\EventCache\.bin'
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\flash.TAdKillerBHO\Clsid\
键值: 字串: '@'=''

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
  

--------------------------------------------------------------------------------
清除方案:
  1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件

%system32%\flash.dll

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A692062A
-11A1-461B-BE98-B520F01F96FC}\InprocServer32\
键值: 字串: '@'='C:\WINDOWS\system32\flash.dll'
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A692062A
-11A1-461B-BE98-B520F01F96FC}\ProgID\
键值: 字串: '@'='flash.TAdKillerBHO'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6-b170-9a65bc822c77\
键值: 字串: 'CurrentCacheFile'= 'C:\WINDOWS\SoftwareDistribution
\EventCache\.bin'
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\flash.TAdKillerBHO\Clsid\
键值: 字串: '@'=''
精典的ASP精选TOP
· 利用ADODB.Stream 防盗链
· Adodb.Stream说明手册
· 采集需要登录
· ASP 判断远程图片是否存在
· 在ServerXMLHTTP组件中使用代理服务器
· 用XMLHTTP通过代理服务器从服务提取数据的一些问题
· objXML.readystate的值
· 互联网HTTP连接等出错代码大全
· 利用XMLHTTP实现的二级连动Select
· 利用 xmlhttp 分块上传文件
 
服务器安全点击TOP
· 新云最新漏洞总结篇
· 各类网站的默认数据库和密码
· Windows Server2003 防木马权限设置IIS服务器安全配置整理
· 针对ASP网站的Win 2003硬盘安全设置
· IIS 6 的PHP 最佳配置方法
· 利用SA.exe 将Iusr_victim克隆为Administrator
· Cmd模式下的入侵技术大全
· 破解网页代码加密
· SERV-U 6.4提权方法,通杀SERV-U版本
· 新云网站管理系统文件注入漏洞
 
硬设与组建点击TOP
· 从头到尾教你组建小型局域网20
· 从头到尾教你组建小型局域网19
· 从头到尾教你组建小型局域网18
· 从头到尾教你组建小型局域网17
· 从头到尾教你组建小型局域网16
· 从头到尾教你组建小型局域网15
· 从头到尾教你组建小型局域网14
· 从头到尾教你组建小型局域网13
· 从头到尾教你组建小型局域网12
· 从头到尾教你组建小型局域网11
 
病毒知识点击TOP
· 不再重装 手动清除顽固病毒AutoRUN
· 木马静态变动态 DLL木马程序大揭秘
· 详解一个很牛X的网马
· 一个网马
· Trojan-Downloader.Win32.Delf.bab
· 抓了一个AJAX的网马
· 迅雷5 最新0day利用程序
· 自动关掉270种杀毒软件
· RealPlayer 最新网马
· 五个反弹型后门的源代码
 
WINDOWS点击TOP
· 4【系统知识】常见文件扩展名及简要说明!!! ==超详尽==
· 3【系统知识】常见文件扩展名及简要说明!!! ==超详尽==
· 2【系统知识】常见文件扩展名及简要说明!!! ==超详尽==
· 1【系统知识】常见文件扩展名及简要说明!!! ==超详尽==
· Capture an HTML document as an image
· 如何给eWebEditor编辑器加上运行代码框功能
· 给CuteEditor5增加了高亮代码显示功能
· CuteEditor6.0使用配置心得体会
· 关于IE插件的CLSID问题
· 对开发的程序(制作CAB)进行签名,并允许网站中使用
  "凌风微型文章系统",针对"搜索引擎"完美设计,提高"搜索引擎"对网站容量,质量的评估值,"扁平化,转静态 ..."