资深黑客带您全面解剖“木马下载者”(2)

1.Trojan-Downloader.Win32.Delf.ald分析
病毒名称： Trojan-Downloader.Win32.Delf.ald
病毒类型： 木马类
文件 MD5： D1389043F9371EF017F2E143E7DB3A04
危害等级： 中等
文件长度： 138,240 字节
感染系统： Win98以上
开发工具： Borland Delphi 6.0 - 7.0

病毒描述：
该病毒运行后，首先在%Windir%下创建systemer.exe文件。而后连接http://www.*****5.com,下载若干个文件到本机并自动运行安装，安装后施放若干个文件，包括Trojan-Clicker.Win32.Delf.cy病毒文件，之后自动启动雅虎助手和中文上网软件和%\Windir\101359.exe%文件（Packed.Win32.Klone.e），连接网络。该病毒对用户有一定危害。

行为分析：

（1）修改注册表并添加开机启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%\WINdir\%systemer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%:\PROGRA~1\%Yahoo!\ASSIST~1\YLive.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%\WINdir%systeres.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串："%\PROGRA~1\%Yahoo!\Assistant\yassistse.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%\Program Files\%CNNIC\Cdn\cdnup.exe

（2）释放文件列表：
%\WINdir%\101359.exe 大小: 142,857，
%\WINdir%\cx.exe 大小: 405,504，
%\WINdir%\mrhl098.exe 大小: 545,792，
%\WINdir%\rjzc168yassist.exe 大小: 226,448，
%\WINdir%\system.txt 大小: 111，
%\WINdir%\systemer.exe 大小: 44,544，
%\WINdir%\systeres.exe 大小: 175,104，
%\WINdir%\systeres.ini 大小: 175，
位置总数: 4
%\WINdir\System32\%microsoft 大小: 0，
%\WINdir\System32\%cdn.dll 大小: 32,768，
%\WINdir\System32\%cdnns.dll 大小: 23,040，
%\WINdir\System32\%cdnprot.dat 大小: 4,931，
%\WINdir\System32\%cns.dat 大小: 70,480，cns.dll
大小: 32,768，cns.exe 大小: 28,672，
%\WINdir\System32\%microsoft 大小: 0，
%\Program Files\%cnnic
%\Program Files\%yahoo!

（3）病毒运行后，以下列地址连接外网：
TCP105161.135.170.161 : 80%\WINdir\%101359.exe

清除方案 ：
(1) 使用 icesword的“进程查看”或其他具有类似功能的软件关闭病毒进程。
(2) 删除以下文件：

%\WINdir%\101359.exe
%\WINdir%\cx.exe
%\WINdir%\mrhl098.exe
%\WINdir%\rjzc168yassist.exe
%\WINdir%\system.txt
%\WINdir%\systemer.exe
%\WINdir%\systeres.exe
%\WINdir%\systeres.ini
%\WINdir\System32\%microsoft
%\WINdir\System32\%cdn.dll
%\WINdir\System32\%cdnns.dll
%\WINdir\System32\%cdnprot.dat
%\WINdir\System32\%cns.dat
%\WINdir\System32\%microsoft
%\Program Files\%cnnic
%\Program Files\%yahoo!

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串：%\WINdir\%systemer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“
字串：%:\PROGRA~1\%Yahoo!\ASSIST~1\YLive.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串：%\WINdir%systeres.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串："%\PROGRA~1\%Yahoo!\Assistant\yassistse.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串：%\Program Files\%CNNIC\Cdn\cdnup.exe