病毒標籤:
病毒名稱: Trojan-Downloader.Win32.Delf.aok病毒類型: 木馬
檔案 MD5: 7d81bc7a4cc39145a7d05b31f4474207
公開範圍: 完全公開
危害等級: 中
檔案長度: 12,383 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: 未知殼
命名對照: Symentec[Downloader]
Mcafee[無]
病毒描述:
該病毒屬木馬類,病毒運行後,釋放病毒檔案%system32%\ ntdhcp.exe用來記錄鍵盤,並在釋放指向MS-DOS程式的捷徑%Program Files%\Common Files \INTEXPLOREt,在%Program Files%\Common Files下創建資料夾updata,該病毒運行後連線網路,開啟本地連線埠,下載病毒檔案並存放在資料夾%Program Files%\Common Files\updata中,該病毒運行後,所下載的病毒檔案自動運行,會在用戶機器上開啟後門,盜取QQ、魔獸等遊戲的賬號和密碼。該病毒對用戶有一定危害。
行為分析:
1、該病毒運行後,釋放病毒檔案:
病毒路徑及病毒名病毒功能
%system32%\ntdhcp.exe
%Program Files%\Common Files\INTEXPLOREt
(鍵盤記錄)
(指向MS-DOS程式的捷徑)
2、創建資料夾%Program Files%\INTEXPLORE用來保存該病毒連線網路時下載的病毒檔案。
3、該病毒運行後,連線網路,開啟連線埠,並下載病毒檔案,並運行:
協定:TCP
IP:218.16.117.82 (廣東省東莞市)
隨機開啟1024以上連線埠,如:1088、1091
下載病毒檔案到%Program Files%\Common Files\updata:
病毒路徑及原病毒名病毒名
%Program Files%\Common Files\updata\pp2.exe
%Program Files%\Common Files\updata\PP3.exe
%Program Files%\Common Files\updata\pp4.exe
%Program Files%\Common Files\updata\pp5.exe
(Trojan-PSW.Win32.QQRob.fb)
(Backdoor.Win32.Hupigon.azq)
(Trojan-Clicker.Win32.Delf.bt)
(Trojan-PSW.Win32.WOW.bt)
病毒檔案被下載後,自動運行,在用戶機器上開啟後門,盜取QQ、魔獸等遊戲的賬號和密碼。
註:%Program Files%是一個可變路徑。病毒通過查詢作業系統來決定當前program Files資料夾的位置。Windows作業系統中默認的安裝路徑是C:\Progame Files 。
% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案 :
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%system32%\ntdhcp.exe
%Program Files%\Common Files\INTEXPLOREt
%Program Files%\Common Files\updata\pp2.exe
%Program Files%\Common Files\updata\pp3.exe
%Program Files%\Common Files\updata\pp4.exe
%Program Files%\Common Files\updata\pp5.exe
