木马下载器Trojan-Downloader.Win32.Delf.jst

木马下载器Trojan-Downloader.Win32.Delf.jst

该程序是使用Delphi编写的木马下载器，由微点主动防御软件自动捕获，采用FSG加壳方式试图躲避特征码扫描，加壳后长度19,617字节，图标为Windows 图片和传真查看器的默认图像文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。

病毒分析

　　该木马程序运行后，遍历进程查找NTdhcp.exe、SVCHOXT.EXE并将其关闭；拷贝自身到%systemroot%、%systemroot%\system32目录下，分别重命名为NIW.exe、impai.exe；修改系统自启动项以达到随系统启动的目的；

修改.txt文件的文件关联，当用户打开.txt文件时会自动激活病毒；

删除部分安全软件：KAVPersonal50、KvMonXP、YLive.exe、yassistse的自启动项，使其不能随机启动；枚举窗口查找窗口名或类名为如下字符的窗口，通过发送WM_CLOSE消息将其关闭；

调用API函数CreateProcessA运行NIW.exe；NIW.exe运行后，修改如下注册表键值实现修改IE主页、IE默认主页灰色按钮不可用，这样可以锁定病毒所设置的网页地址；

开启一线程，使用API函数InternetGetConnectedState检查网络连通状况，如果网络连通则访问恶意网站hxxp://www.xxx.com,将病毒程序下载到本地%systemroot%\system32目录下并运行。


安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理；


　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-Downloader.Win32.Delf.jst”，请直接选择删除。


　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。