病毒名称: Backdoor.Win32.Delf.awg
病毒类型: 后门类
文件 MD5: 2E6B88AA95B294D41BA7DE5191DA98E4
安天实验室 安全分析组
一、 病毒标签:
病毒名称: Backdoor.Win32.Delf.awg
病毒类型: 后门类
文件 MD5: 2E6B88AA95B294D41BA7DE5191DA98E4
公开范围: 完全公开
危害等级: 4
文件长度: 39,324 字节
感染系统: windows 98以上版本
加壳类型: 未知壳
二、 病毒描述:
病毒运行后,复制自身到系统目录下,衍生病毒文件,并删除自身。修改注册表,改变浏览器默认主页;创建服务,并以服务的方式达到随机启动的目的。该病毒没有主动传播能力,通过恶意网站、其它病毒/木马下载传播。尝试连接网络,等待病毒服务端连接;连接成功后中毒机器会受到远程控制。
三、 行为分析:
1、病毒运行后,复制自身到系统目录下:
%System32% /Delme.bat
%System32% /Iepage.exe
2、修改注册表,改变浏览器默认主页:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page
新: 字符串: "http://dhz.810810.org"
旧: 字符串: "about:blank"
3、创建服务,并以服务的方式达到随机启动的目的:
服务名称: msiehome
显示名称: msiehome
描述: msiehome
可执行文件的路径:%System32% /Iepage.exe
启动方式:自动
4、创建自身进程Iepage.exe,尝试连接网络,等待病毒服务端连接;连接成功后中毒机器会受到远程控制。
5、该病毒没有主动传播能力,通过恶意网站、其它病毒/木马下载传播。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%/当前用户/Local Settings/Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:/Winnt/System32;
Windows95/98/Me中默认的安装路径是 C:/Windows/System;
WindowsXP中默认的安装路径是 C:/Windows/System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:
www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址:
www.antiy.com或
http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
关闭病毒进程 Iepage.exe
(2) 删除病毒文件
%System32% /Delme.bat
%System32% /Iepage.exe
(3)删除病毒添加的注册表项
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page
新: 字符串: "http://dhz.810810.org"
旧: 字符串: "about:blank"
(4)在服务中把服务msiehome启动方式由自动改为禁止