Backdoor.Win32.Delf.awg 分析报告

安天实验室    安全分析组
一、    病毒标签：

病毒名称： Backdoor.Win32.Delf.awg
病毒类型： 后门类
文件 MD5： 2E6B88AA95B294D41BA7DE5191DA98E4
公开范围： 完全公开
危害等级： 4
文件长度： 39,324 字节
感染系统： windows 98以上版本
加壳类型： 未知壳

二、 病毒描述：

病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身。修改注册表，改变浏览器默认主页；创建服务，并以服务的方式达到随机启动的目的。该病毒没有主动传播能力，通过恶意网站、其它病毒/木马下载传播。尝试连接网络，等待病毒服务端连接；连接成功后中毒机器会受到远程控制。

三、 行为分析：
1、病毒运行后，复制自身到系统目录下：
%System32% /Delme.bat
%System32% /Iepage.exe

2、修改注册表，改变浏览器默认主页：
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page
新: 字符串: "http://dhz.810810.org"
旧: 字符串: "about:blank"

3、创建服务，并以服务的方式达到随机启动的目的：
服务名称： msiehome
显示名称： msiehome
描述：     msiehome
可执行文件的路径：%System32% /Iepage.exe
启动方式：自动

4、创建自身进程Iepage.exe，尝试连接网络，等待病毒服务端连接；连接成功后中毒机器会受到远程控制。

5、该病毒没有主动传播能力，通过恶意网站、其它病毒/木马下载传播。
 
注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%/当前用户/Local Settings/Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:/Winnt/System32；
Windows95/98/Me中默认的安装路径是　C:/Windows/System；
WindowsXP中默认的安装路径是　C:/Windows/System32。
   

四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
关闭病毒进程  Iepage.exe
              (2) 删除病毒文件
%System32% /Delme.bat
%System32% /Iepage.exe
              (3)删除病毒添加的注册表项
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page
新: 字符串: "http://dhz.810810.org"
旧: 字符串: "about:blank"
(4)在服务中把服务msiehome启动方式由自动改为禁止