文件名称：MySetup.exe

　　文件大小：19625 byte

　　AV命名： Trojan-Downloader.Win32.Delf.b（卡吧）

　　依赖平台：Windows（9X以上系统）

　　加壳方式：FSG 2.0+Morphine 1.2 - 1.3

　　编写语言：Borland Delphi 6.0 - 7.0

　　病毒类型：Downloader

　　文件MD5：201b62807656299cd99d6f07f4c3d93b

　　文件SHA1 :    da39a3ee5e6b4b0d3255bfef95601890afd80709

　　危害等级：★ ☆

　　传播方式：U盘等移动介质、网络。

　　行为分析：

　　1、释放病毒文件：

　　%Systemroot%\system32\MySetup.exe 19625 字节

　　%Systemroot%\system32\SoftDLL.dll   29184 字节

　　%Systemroot%\system32\SoftVersion.ini   488 字节

　　2、SoftDLL.dll 检测进程Explorer进程并注入。

　　3、SoftDLL.dll遍历磁盘，C-Z盘下生成：Autorun.inf和MySetup.exe

　　Autorun.inf内容：

　　OPEN=MySetup.exe
　　shell\open=打开(&O)
　　shell\open\Command=MySetup.exe
　　shell\open\Default=1
　　shell\explore=资源管理器(&X)
　　shell\explore\Command=MySetup.exe

　　并监视移动盘介入，尝试在其跟目录生成病毒附本。

　　4、删除文件：

　　%Systemroot%\system32\verclsid.exe   21264 字节

　　5、写注册表：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

　　指向SoftDLL.dll（开机注入Explorer进程。）

　　禁止自动更新：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WindowsUpdate

　　注册表键   AU

　　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions
AUOptions = REG_DWORD, 1

　　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
NoAutoUpdate = REG_DWORD, 1

　　禁用系统自带防火墙：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallPolicy

注册表键 StandardProfile

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\StandardProfile

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
注册表值   EnableFirewall = REG_DWORD, 0

（2K系统不受影响） o(∩_∩)o

　　6、修改注册表

　　破坏显示隐藏文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
CheckedValue

REG_DWORD, 1 修改为 REG_SZ, "0 "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
REG_SZ, "SoftDLL.dll "

　　借助AppInit_DLLs开机注入。

　　7、随后读取SoftVersion.ini列表（自带87位算法校验）反弹连接38.100.19.*** 尝试下载木马，不过未实现。

　　（不给连接了``要样本自己按图上地址打吧``=。=）

　　解决方法：

　　到down.45it.com下载：sreng2.zip和IceSword120_cn.zip(以下简称冰刃)

　　1、打开冰刃，设置—禁止进线程创建—确定。

　　2、利用冰刃“文件”功能(（详细步骤：打开冰刃－文件－依次找到病毒文件删除即可）)，删除：

　　%Systemroot%\system32\MySetup.exe 19625 字节

　　%Systemroot%\system32\SoftDLL.dll   29184 字节

　　%Systemroot%\system32\SoftVersion.ini   488 字节（这个没找到的话忽略）

　　每个分区下（C-Z）的Autorun.inf和MySetup.exe

　　3、利用冰刃“注册表”功能，删除：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\下的

　　AU整个键

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy下的

StandardProfile整个键

（注意看清楚，不要删除错了！）

　　4、设置冰刃，重启并监视。

　　5、重启后打开SREng，删除：

　　注册表（详细步骤：打开SREng－启动项目－注册表）：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

     <{A781A1EC-975E-4718-AF5E-A3F552D55C41}><C:\winnt\system32\SoftDLL.dll>   []

   <{A781A1EC-975E-4718-AF5E-A3F552D55C41}这个可能不一样