explsore.exe,Backdoor.Win32.Delf.fyh

Backdoor.Win32.Delf.fyh被执行后，停止“beep”服务后释放驱动文件替换目录%SystemRoot%\system32\drivers\下的驱动文件 “beep.sys”，启动“beep”服务以系统原服务加载修改后的驱动，恢复SSDT试图使多数安全软件监控失效；查找目录%SystemRoot%\system32\下是否存在文件“explsore.exe”，如存在则将其注册成名为“TopdeskDriver”的服务并使用相关API函数启动此服务；否则拷贝自身到此目录下重命名为“explsore.exe”，修改文件属性为系统“隐藏”，使用函数 WinExec启动此病毒拷贝；使用API函数“CreateProcessA”以挂起方式启动“svchost.exe”，申请空间将自身代码写入，之后唤醒线程执行刚写入的病毒代码；病毒使用命令行执行自删除。

项：HKLM\SYSTEM\CurrentControlSet\Services\TopdeskDriver\
键值：DisplayName
指向数据：Desktop Drivers
项：HKLM\SYSTEM\CurrentControlSet\Services\TopdeskDriver\
键值：ImagePath
指向数据：C:\windows\system32\explsore.exe
项：HKLM\SYSTEM\CurrentControlSet\Services\TopdeskDriver\
键值：Start
指向数据：02

病毒主程序运行后，从网络空间“http://u***bk1.3322.org:6666”上读取后门种植者所设置的IP地址和端口号进行反向连接，连接成功后使用API函数开启多个线程与黑客进行通讯，接受黑客的控制并从指定网站下载木马执行，使被病毒感染主机伦为傀儡主机。