木马下载器Trojan-Downloader.Win32.Delf.jvk

该程序是使用VB编写的木马下载器，由微点主动防御软件自动捕获，程序未加壳，长度为90,112字节，图标为腾讯TM图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。

病毒分析

　　该木马下载器运行后，在当前目录下释放源文件名为TMShell.EXE的正常程序，通过API函数CreateProcessA将其启动运行；TMShell.EXE运行后，会显示如下所示的界面来迷惑用户；



　　之后病毒会访问恶意网址“hxxp://d.2008dajiafa.cn/d.gif”，将其下载到本地C:\testwin.txt并运行；
　　testwin.txt运行后，在%temp%目录下释放tmp*.tmp；在%systemroot%\system32\drivers目录下释放驱动pop.sys；调用SCM写注册表项将pop.sys注册成名为pop的服务，使用相关函数启动该服务；通过API函数CreateProcessA将其启动运行；以批处理的形式将病毒原文件删除。

　　tmp*.tmp运行后，通过API函数GetModuleFileNameA获取当前模块对应的文件名，之后依次与以下文件名：conime.exe、internat.exe、ctfmon.exe、explorer.exe进行比较，若发现与某个文件名相同，则执行目录%systemroot%\system32\dllcache下相同名称的程序，欺骗用户误认为是正常的系统文件；开启两个线程：

　　一线程：查找窗口名为“Windows 文件保护”的窗口，若找到则通过API函数ShowWindow将其隐藏；
　　一线程：遍历进程查找360Safe.exe、360Tray.exe将其关闭；之后遍历进程检测系统中是否存在AVP.exe，如果存在则修改当前系统时间，使其不能正常运行；通过API函数URLDownloadToCacheFileA将如下网址:hxxp://down.2008dajiafa.cn/中含有下载列表的文件yong.txt下载到缓冲区，通过API函数InternetOpenA、InternetOpenUrlA、InternetReadFile依次访问下载列表中的网站，将多种病毒和木马程序下载到本地%temp%目录并运行。


安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理；


　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-Downloader.Win32.Delf.jvk”，请直接选择删除。


　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。