一、 病毒标签:
原文件名: aoturun.exe、run.exe
病毒名称: Backdoor.Win32.Delf.avu
病毒类型: 后门
文件 MD5: EDA53FC92244C06CA8F70AAD1F8DBB4C
公开范围: 完全公开
危害等级: 4
文件长度: 742,400 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 无
命名对照: 驱逐舰 [BACKDOOR.Trojan]
AVAST [Win32:Hupigon-FB]
二、 病毒描述:
该病毒属后门类,病毒图片为QQ图标,用以迷惑用户点击。病毒运行后衍生病毒文件,在每
个磁盘根目录下建立一个autorun.inf的配置文件,会出现双击磁盘无法打开的效果,并且每
当双击磁盘时,病毒都会运行一遍。修改注册表,创建服务,并以服务的方式达到随机启动
的目的。该病毒利用移动设备进行传播。
三、 行为分析:
1、病毒运行后衍生病毒文件:
X:\autorun.vbs
X:\AUTORUN.INF
X:\AUTORUN.exe
X:\autorun.bat
%Program Files%\Common Files\Microsoft Shared\MSInfo\svchost.exe
2、修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update\
键值: 字串: "Description"="提供最近的关键和安全更新,设备驱动程序,和其它对您的
Windows 计"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update\
键值: 字串: "ImagePath"="C:\Program Files\Common Files\Microsoft Shared\
MSINFO\svchost.exe"
3、创建服务,并以服务的方式达到随机启动的目的:
服务名称:Windows Update
显示名称:Windows Update
描述:提供最近的关键和安全更新,设备驱动程序,和其它对您的 Windows 计
可执行文件的路径:%Program Files%\Common Files\Microsoft
Shared\MSINFO\svchost.exe
启动方式:自动
4、该病毒利用U盘等移动设置进行传播:
当移动硬盘接入中毒计算机后,病毒会自动在移动硬盘根目录下创建AUTORUN.INF配置文件,
并复制autorun.exe。使移动硬盘感染。当此移动硬盘接入其他电脑后,双击移动硬盘便会执
行autorun.inf的配置文件,运行病毒autorun.exe。从而进行传播感染。
注:%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
X:\autorun.vbs
X:\AUTORUN.INF
X:\AUTORUN.exe
X:\autorun.bat
%Program Files%\Common Files\Microsoft Shared\MSInfo\svchost.exe
右键打开磁盘,删除每个盘符下的autorun文件。
注:删除autorun期间请勿双击盘符。
(3) 禁止服务:
禁止服务:Windows Update
把Windows Update服务的启动方式改为:已禁止
