本文详细分析了名为Trojan-Dropper.Win32.Delf.or的恶意软件的行为模式。这种恶意软件的主要目的是在受害者系统上部署多个副本文件以及注册表键值,以实现其隐蔽的控制和后续活动。以下是其操作的详细内容:
首先,恶意软件创建了一系列在Windows系统中具有潜在危害的文件副本。这些文件被放置在系统关键路径下,如%Windir%和%System32%,旨在混淆系统并提供可执行入口点。这些文件包括tembay.exe, ly.exe, my.exe, wanmei.exe, wl.exe, 以及更多,其目的是在系统启动或用户操作时运行,可能执行未知恶意操作。
其次,恶意软件还创建了一系列注册表键值,用于在系统启动时自动执行特定程序。这些键值通过在HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER级别设置,指向恶意软件创建的文件路径,如twunk32.exe, iexpiore.exe, wanmei.exe, svcshare, spoclsv.exe, iexpl0re.exe等。这使得恶意软件在系统启动时便能自动激活,并执行预先设定的恶意行为。
此外,恶意软件还篡改了系统的描述、显示名称、图像路径等服务描述,以掩盖其真实身份,并在服务注册表中添加了恶意服务,如Server Advance和Windows DHCP Service,旨在进一步隐藏其活动,误导系统管理员。
恶意软件还通过HTTP GET请求从特定服务器获取病毒体地址,这些地址指向了名为wormcn.txt的文件。该文件包含了一个恶意程序列表,如cq.exe, ly.exe, my.exe, rx.exe, 等,这些程序随后被下载并执行,进一步扩展了恶意软件的破坏范围。
在执行过程中,恶意软件插入了线程到explorer.exe进程,如windhcp.ocx, userspi.dll, wsvbs.dll等,旨在实现对系统的深层次控制,如访问系统资源、执行恶意操作或安装额外的恶意软件。
值得注意的是,%System%是一个可变路径,恶意软件通过查询操作系统来决定当前System文件夹的位置,这使得其适应不同Windows版本的路径变化,增加了其攻击的灵活性和隐蔽性。
总结而言,Trojan-Dropper.Win32.Delf.or通过创建副本文件、注册表键值、篡改服务描述、获取和执行恶意程序,以及插入线程到关键进程等手段,实现其在系统中的隐蔽控制和恶意活动。这种行为模式对系统安全构成了严重威胁,用户应采取必要的安全措施,如安装防病毒软件、定期更新系统和应用程序、避免访问不可信的网站等,以防范此类恶意软件的侵扰。
扩展资料
该病毒运行后,病毒衍生文件到系统目录下,连接某服务器获得要下载病毒的地址到本机运行。添加注册表自动运行项与服务项以随机引导病毒体。该病毒主要为盗取用户游戏账号为主。包括征途、传奇、QQ、热血江湖等。
Trojan-Dropper.Win32.Delf.or行为分析
总结而言,Trojan-Dropper.Win32.Delf.or通过创建副本文件、注册表键值、篡改服务描述、获取和执行恶意程序,以及插入线程到关键进程等手段,实现其在系统中的隐蔽控制和恶意活动。这种行为模式对系统安全构成了严重威胁,用户应采取必要的安全措施,如安装防病毒软件、定期更新系统和应用程序、避免访问不可信的...
Trojan-Dropper.Win32.Delf.nk病毒行为
行为分析:病毒运行后,将病毒文件释放到以下位置:windir%g_server.dll %windir%g_server.exe对注册表进行修改:修改键值:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\GrayPigeonServer\\ImagePath,键值:字串:C:\\WINNT\\G_Server.exe 修改键值:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet...
Trojan-Dropper.Win32.Delf.or的清除方案
1、使用安天木马防线可彻底清除此病毒(推荐)2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。(1) 使用安天木马防线“进程管理”关闭病毒进程spoclsv.exeiexpl0re.exe(2) 使用安天木马防线禁用下列服务:Server Advance(3) 找到下列注册表键值:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\...
Trojan-Dropper.Win32.Delf.or基本信息
Trojan-Dropper.Win32.Delf.or,即“武汉男生变种”,属于木马类病毒,具有中等的危害等级。其文件MD5为DD26CCAD1848DE5663F0B8892EB4DAE5,公开范围完全。文件长度为75,269字节,适用于Win98以上系统。开发工具是Borland Delphi 6.0 - 7.0。加壳类型包含nSPack 2.1 - 2.5与North Star\/Liu Xing P...
Trojan-Dropper.Win32.Delf.or清除方案
清除Trojan-Dropper.Win32.Delf.or病毒的方法主要分为两大部分:使用安天木马防线进行自动清理和手工清除病毒文件及注册表项。以下是详细的清除步骤:1. 使用安天木马防线进行自动清理: - 关闭病毒进程:spoclsv.exe, iexpl0re.exe - 禁用服务:Server Advance - 修改注册表键值:将ImagePath值...
Trojan-Dropper.Win32.Delf.anc行为分析
com\/down\/多款.exe文件病毒通过插入到explorer.exe进程来运行恶意插件,如windhcp.ocx, userspi.dll和wsvbs.dll,利用%System%变量来定位系统文件夹。这些行为表明,Trojan-Dropper.Win32.Delf.anc是一个具有隐蔽启动、文件复制和远程下载能力的恶意软件,旨在悄悄地在受害者的系统中执行恶意操作。
Trojan-Dropper.Win32.Delf.anc危害
QQ、热血江湖等知名在线游戏的账号。这可能导致用户的财产安全受到威胁,账号被盗用,甚至可能导致游戏数据的丢失。因此,对于这种名为Trojan-Dropper.Win32.Delf.anc的威胁,用户应保持警惕,定期更新安全防护软件,避免访问不可信的网站,并谨慎处理来自不明来源的文件或链接,以减少被病毒感染的风险。
Trojan-Dropper.Win32.Delf.vp-木马程序
Trojan.Dropper为特洛伊病毒 危害性:中等危害 病毒特性:它会显示伪装的“被感染”信息,并尝试下载一个假的“间谍软件”扫描器;伪装的“被感染”信息怂恿用户下载这个软件。它是大小为39,936字节的Win32可运行程序,并能够被Win32.DlMersting 病毒变体下载。危害:监听HTTP请求修改系统设置使系统修复功能...
Trojan-Dropper.Win32.Delf.nk病毒描述
病毒通过修改注册表键,尝试与网络建立连接,收集被感染计算机的敏感信息。其后门功能允许病毒开启本地1080端口等待恶意用户的连接。一旦恶意用户连接,他们可以对被感染的计算机执行任意操作,对用户构成一定威胁。病毒在计算机系统中运行后,会生成%windir%g_server.exe文件,该文件用于实现后门功能。同时,释放...
Trojan-Dropper.Win32.Delf.va简介
本文主要介绍一种名为Trojan-Dropper.Win32.Delf.va的病毒,它属于木马类别。这种恶意软件的文件MD5值为989F391B9FC286A08DBE90DFDBB414A1,其公开范围已经完全暴露,这使得它有可能被广泛传播。据评估,它的危害等级为3,表明其潜在威胁不容小觑。病毒的文件长度为15,334字节,这意味着它包含的恶意代码...
