病毒标签:
云南博客�r.I:_�j�N�y
[ 病毒名称: Trojan-Downloader.Win32.Delf.ain
云南博客�w
O�`/R!{�S L�@ x病毒类型: 木马
云南博客,|!c�_�x�f�P'L�s文件 MD5: 8B10932BA81F41561EA62FF3E0426A17
�P�A�o9l#@�G6?�?0公开范围: 完全公开
-V�F�Y8N�N0B�}0危害等级: 中
云南博客�\�o�|�Q
f�B t&A5g文件长度: 66,056 字节
云南博客�{!Z�A�C)K�I感染系统: windows98以上版本
云南博客�n�y�o�A
@!c�A�L开发工具: Microsoft Visual C++ 6.0
�x�F7]�_:M�l�D!X&Q,c2w�d0加壳类型: 未知壳
云南博客5}1}�w1z;|!O�|&@�p�c命名对照: Symentec[Hacktool]
�i�p�]�m�S�Z�i-^�d0 Mcafee[无]
�v�k8q�h�y0 云南博客�l�h:l(h8@�D�Y$a"U�o�S病毒描述:
云南博客'C�@%j$g&|�w0z 该病毒属木马类,病毒运行后在%system32%\CatRoot2下新建了大量.log文件,用以记录键盘操作,从而盗取用户敏感信息,并以邮件的形式发送给病毒作者。释放修改系统时间的文件到文件夹%system32%\CatRoot2下,使病毒文件的新建时间与系统时间不一至,同时释放文件碎片恢复文件%system32%\CatRoot2\.edb.chk,此文件可以恢复被删除的病毒文件,给手工删除此病毒带来了一定的困难。此病毒对用户有一定危害。
云南博客%I,{�W�W;C8W�k 7o�u:C�d�[6c�E9Q�{#Q
[*h0行为分析:
�o!j6u;s�b6m
B�M$Q0 1、病毒运行后在%system32%\CatRoot2下新建了大量.log文件,用以记录键盘操作:
%Q�q�]0]�e�s�y�P�l#K0云南博客�j�_'@�K�Y%system32%\CatRoot2\res1.log
�v�@�]
l1P h�S�f0%system32%\CatRoot2\res2.log
云南博客�a�T A�F�R�B3]%system32%\CatRoot2\edb.log
云南博客�E9R�m+f*J!s%system32%\CatRoot2\dberr.txt
字串5
云南博客!A#@�S-w$N�{%system32%\CatRoot2\edbtmp.log
�a&\�M J�@"z O2Z3J0%system32%\CatRoot2\edb0001b.log
�X�o8K'b#K�k"X0云南博客*X�D0E'c�}�[7W云南博客�L9w7J+F4Y�a�D�`#|2、病毒记录键盘操作,并以邮件的形式发送给病毒作者:
�v-[�R2T�L0云南博客�v�C�_9G;|病毒作者邮箱:refdom@263.net
&i�k�I
@!h�x�?�k-G0云南博客�^'f�D�])Z/V&p3、释放修改系统时间的文件到文件夹%system32%\CatRoot2下,使病毒文件的新建时间与系统时间不一至:
云南博客�N9x�^�{"?�W�g'f"y
s�s9S7L�U�v0%system32%\CatRoot2\\catdb
云南博客/M*h�K�C5C�o'I�L�^%system32%\CatRoot2\\TimeStamp
m�L%g#{
T�J"U�m9x�T-z0%system32%\CatRoot2\\ catdb
�C�j8P�B1u#M�k;E0%system32%\CatRoot2\\ TimeStamp
Z�R4x�W6P8w)w0%system32%\CatRoot2\tmp.edb
云南博客.} @ P$M ]�s�I�|(?#v�l.F04、释放文件碎片恢复文件,用来恢复被删除的病毒文件,从而给手工删除此病毒带来了一定的困难:
云南博客�J�]�f�y�v&N�n!G�{
N�@�X�[0%system32%\CatRoot2\.edb.chk
云南博客)@)U
z ]
j:B�X�e$G.g�P�_8U云南博客)s0`�`
j�J!l�x)n注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
;n�p6T!X�@#h'X D0y�E�Y(\0 云南博客�t�G�o8V/D;a�M�V�w�|�v�a+K�C�T�E�j
o0--------------------------------------------------------------------------------
+A;G
^+z7{ M�c0清除方案 :
a�A�~6m�E4B7I�B0 1、使用安天木马防线可彻底清除此病毒(推荐)。
6u�T2{5q�w�g�C.z�@0�u�m&d0~ u�H02、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
字串3
6l�n�{/e�|�A�I0云南博客*\+~�X+a3J-]*N(1) 使用安天木马防线“进程管理”关闭病毒进程
n�Q6},e�}/K0(2) 删除病毒文件
云南博客
Z6z�D S�h�w�q�L�L1H�v�f,y�I;a0%system32%\CatRoot2\res1.log
(K5?/s�c4W�Z�k0%system32%\CatRoot2\res2.log
云南博客�H�R�u8W+[
{%system32%\CatRoot2\edb.log
云南博客�i�_3o�u�e/m�R&y�x%system32%\CatRoot2\dberr.txt
云南博客�b:G.V9m�t�L%system32%\CatRoot2\edbtmp.log
云南博客�y�y�R
U1I�j q�}8h�v�o%system32%\CatRoot2\edb0001b.log
云南博客�v�j.I�s�B�P#i�^�s%system32%\CatRoot2\\catdb
/m"R�{8n V0%system32%\CatRoot2\\TimeStamp
云南博客
~�X�q�l�y4M�c%system32%\CatRoot2\\ catdb
�P(N�m4O�P�@ v�l,R!o�s0%system32%\CatRoot2\\ TimeStamp
�K
S�w5l�a6W%d�P�o�?-q0%system32%\CatRoot2\tmp.edb
云南博客4[1h&S9s5h
r%system32%\CatRoot2\.edb.chk
