Trojan-Downloader.Win32.Delf.bqh病毒分析手动清除

文件名称：sb.exe

文件大小：25088 bytes

AV命名：Trojan-Downloader.Win32.Delf.bqh

加壳方式：未

编写语言：Borland Delphi 6.0 - 7.0

病毒类型：Downloader

文件MD5：4C702BCAC11CEAACC27FF8544146A57D

文件SHA1：29AFA21BE37DFBB4D92FD4F754C1BB497F175E72

传播方式：U盘等移动介质

行为分析：

1、释放病毒文件：

%Systemroot%\system32\chost.exe 25088 字节（病毒副本）

%Systemroot%\system32\sbl.dll 462336 字节（检测系统是否服务器，是则注入进程）。

遍历分区，在磁盘目录生成：

sb.exe和autorun.inf

内容为：

[autorun]
OPEN=sb.exe
shellexecute=sb.exe
shell\Auto\command=sb.exe
shell=open

2、调用CMD的Net Stop命令，关闭系统自带防火墙。（未实现）

3、检测窗口，关闭出现的下列文字：

防火墙
江民
金山
木马清道夫
木马克星
杀毒
超级巡警
NOD32核心
风云
安全卫士
木马杀客
NOD32 内核
江民
金山

4、搜索为“#32770”窗口类名并发送禁用消息，导致瑞星监控、防火墙失效。

5、遍历进程，查找为"360tray.exe"、"avp.exe"进程，并使其（卡吧、360安全卫士）监控失效。

（未验证）

6、连接202.101.43.1**（上海）下载木马：

后面几个连接失效，磕磕碰碰的``=。=

7、下载木马，应该是灰鸽子```有内蒙、广东等```蛮过分的，网络宽带都被抢光了`

解决方法：

到down.45it.com下载sreng2.zip和IceSword120_cn.zip(下文简称冰刃)

1、下载工具直接放桌面，关闭不需要的进程，断开网络。

2、打开冰刃，设置禁止线程创建，确定。

3、打开冰刃进程，结束掉：

4、然后，冰刃“文件”功能，删除：

C:\Documents and Settings\serivcesb.exe
C:\Documents and Settings\serivcesf.exe
C:\Documents and Settings\servciesa.exe
C:\Documents and Settings\serviecsd.exe
C:\Documents and Settings\sevricesc.exe
C:\Program Files\Internet Explorer\SPLOAE.dat
C:\Program Files\Internet Explorer\SPLOAE.exe
C:\Windows\system32\chost.exe
C:\Windows\system32\Deleteme.bat
C:\Windows\system32\pccss.exe
C:\Windows\system32\sbl.dll
C:\Windows\system32\scvhos.dll
C:\Windows\system32\scvhos.exe
C:\Windows\system32\servciesa.exe
C:\Windows\system32\servciese.exe

还有C-Z盘下的Sb.exe和autorun.inf

5、设置冰刃，重启并监视。

6、重启后直接开SREng（别联网），删除：

注册表（详细步骤：打开SREng－启动项目－注册表）：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Mrxiaokan><C:\Program Files\Internet Explorer\SPLOAE.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<sysbl><C:\winnt\system32\chost.exe> []

服务（详细步骤：打开SREng－启动项目－win32服务应用程序）：

[this is goodwork for me / micrsofte][Stopped/Auto Start]
    <C:\winnt\system32\servciesa.exe><N/A>
[Remote Procedure Call Systemscvhos / scvhos][Stopped/Auto Start]
    <C:\winnt\system32\scvhos.exe><Microsoft Corporation>
[Windows_pccss / Windows_pccss][Stopped/Auto Start]
    <C:\winnt\system32\pccss.exe><N/A>
[Windows Accounts aspnet / aspnet worter][Stopped/Auto Start]
    <C:\winnt\system32\servciese.exe><N/A>

另建议修改QQ、邮箱等密码``