畅享博客 > 落落屁 > Backdoor.Win32.Delf.ave分析
2006-11-21 1:34:00

Backdoor.Win32.Delf.ave分析

Backdoor.Win32.Delf.ave分析
出处:安天实验室

病毒标签:
 病毒名称: Backdoor.Win32.Delf.ave
病毒类型: 后门
文件 MD5: DCE24755DAC71760BAAD303D2CCEA8BC
公开范围: 完全公开
危害等级: 3
文件长度: 609,792 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: ASProtect 1.33 - 2.1 Registered
命名对照: AVG Anti-Spyware[backdoor.delf.ave]
      驱逐舰 [BackDoor.Pigeon.456]
 
病毒描述:
    该病毒属后门类,病毒运行后衍生病毒文件svchost.exe,打开

进程internet.exe并注入,修改注册表,利用服务达到随机启动的目的

。用户的计算机中此病毒后,会打开后门,等待黑客远程连接,从而可

以控制用户机器,进行非法操作。
 
行为分析:
 1、病毒运行后衍生病毒文件:

C:\Program Files\Common Files\Microsoft

Shared\MSInfo\svchsot.exe

2、打开进程internet.exe并注入。

3、修改注册表,利用服务达到随机启动的目的:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Spullepdsvc\
键值: 字串: "Description "="Enable Install to complete it

scheduled post-reboot task."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Spullepdsvc\
键值: 字串: "DisplayName "="Window Services Pack Install"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001

\Services\Spullepdsvc\Enum\
键值: 字串: "0"="Root\LEGACY_SPULLEPDSVC\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Spullepdsvc\
键值: 字串: "ImagePath"="C:\Program Files\Common

Files\Microsoft Shared\MSInfo\ svchsot.exe"

4、用户的计算机中此病毒后,会打开后门,等待黑客远程连接,从而

可以控制用户机器,进行非法操作。

  注:% System%是一个可变路径。病毒通过查询操作系统来决定当

前System文件夹的位置。Windows2000/NT中默认的安装路径是

C:\Winnt\System32,windows95/98/me中默认的安装路径是

C:\Windows\System,windowsXP中默认的安装路径是

C:\Windows\System32。
 

-------------------------------------------------------------

-------------------
清除方案:
  1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置

(1) 使用安天木马防线“进程管理”关闭病毒进程

internet.exe

(2) 删除病毒文件

C:\Program Files\Common Files\Microsoft

Shared\MSInfo\svchsot.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Spullepdsvc\
键值: 字串: "Description "="Enable Install to complete it

scheduled post-reboot task."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Spullepdsvc\
键值: 字串: "DisplayName "="Window Services Pack Install"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001

\Services\Spullepdsvc\Enum\
键值: 字串: "0"="Root\LEGACY_SPULLEPDSVC\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Spullepdsvc\
键值: 字串: "ImagePath"="C:\Program Files\Common

Files\Microsoft Shared\MSInfo\ svchsot.exe"
0
 我顶!

推荐到鲜果:
下一篇:常用的方法
收藏 |阅读(35) | 快速回复(0) | 回复(0) | 查看windllccyy的个人档案

评论

您正在以 匿名用户 的身份发表评论  快速登录
(不得超过 50 个汉字)
       看不清,换一个
提示消息
(输入完内容可以直接按Ctrl+Enter提交)