TROJAN-DOWNLOADER.WIN32.DELF.CIF

一、病毒标签：
病毒名称： Trojan-Downloader.Win32.Delf.cif
病毒类型： 下载者
文件 MD5：677d306429b75433b1fff8e43bdd5a8a
公开范围： 完全公开
危害等级： A
文件长度：  10.5 KB (10,801 字节)
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： FSG壳
命名对照：  
F-SECURE      Trojan-Downloader.Win32.Delf.cif 2.602
Dr.WEB           Trojan.DownLoader.35124 5.423
AntiVir             TR/Delphi.Downloader.Gen 3.531
二、病毒描述：
该病毒为10月4日天空软件站所挂木马，挂马情况见【病毒风向标精英组】成员所写挂马分析。该病毒为下载者，通过修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run增加启动项目进行开机自启动，并连接网络http://www.ip17173.cn下载1-20.exe，带有弹窗行为，作者在病毒体内留下字符串：“我叫小懒虫,杀毒软件哥哥别KILL我丫！help me!”

三、行为分析
修改系统时间与关闭360安全卫士：
cmd /c date 2000-01-01
cmd /c taskkill /im 360safe.exe /f
  
释放文件与网络行为：
连接http://www.ip17173.cn下载1-20.exe与down.exe存放在本地路径：
%Program Files%\Internet Explorer\1.exe-20.exe
%Program Files%\Internet Explorer\down.exe

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

增加启动项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SVCH0ST"
  Type: REG_EXPAND_SZ
  Data: C:\Program Files\Internet Explorer\down.exe
清除方案：
1． 删除文件：
用强制删除工具[建议使用MJ写的FileKill360]删除下面列出的文件并免疫。
c:\Program Files\Internet Explorer\down.exe
c:\Program Files\Internet Explorer\1.exe
..............省略2-19
c:\Program Files\Internet Explorer\20.exe

删除启动项目[建议使用SRENG查看并删除]：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{C:\Program Files\Internet Explorer\down.exe}  []
建议清除不掉病毒的用户使用专杀程序进行清除和免疫。
【病毒风向标精英组：专杀工具下载】