Trojan-Downloader.Win32.Delf.ivc
Trojan-Downloader.Win32.Delf.ivc
病毒名称
Trojan-Downloader.Win32.Delf.ivc
病毒症状
该程序是使用Delphi编写的下载程序,采用FSG加壳方式试图躲避特征码扫描,加壳后长度为21,993字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
病毒分析
该样本程序被执行后,拷贝自身到%systemroot%目录下,并重命名为microsoft.exe;修改注册表自启动项使病毒随系统一起启动;通过运行命令行cmd /c taskkill /im 360safe.exe /f 试图将360safe.exe进程关闭;运行命令行cmd /c date 2000-01-01修改当前系统时间,使部分杀毒软件过期不能正常使用;通过使用API函数URLDownloadToFileA访问如下网站,将其它病毒程序下载到本地C:\\Program Files并运行。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
YissAi建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
技术细节
病毒修改注册表项:
项:HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
键值:dedede
指向文件:%systemroot%\\microsoft.exe
病毒访问的网址:
http://***.v369v.com/host/host*.exe Worm.Win32.AutoRun
http://***.v369v.com/host/host*.exe Trojan-PSW.Win32.OLGames
http://***.v369v.com/host/host*.exe Trojan-Spy.Win32.Delf
http://***.v369v.com/host/host*.exe Trojan-PSW.Win32.OLGames
http://***.v369v.com/host/host*.exe Trojan-Spy.Win32.Delf