| 引用: |
【平凡的世界的贴子】请问一下这是一个什么病毒?怎么清都清不掉....
........................... |
病毒分类 WINDOWS下的PE病毒 病毒名称 Backdoor.Delf.s
别 名 病毒长度
依赖系统 传播途径
行为类型 WINDOWS下的木马程序 感 染
病毒发作瑞 星 版 本 号 17.09.30
这是Delphi写的后门,具有一定破坏性,且有蠕虫特性,能主动传播,难以手动清除。
病毒运行后将自己拷贝到Windows目录下,文件名为svchost.exe。
然后写注册表项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft : %Windir%\svchost.exe (%Windir%指Windows安装目录)
这样,每次开机病毒都能启动。
并且病毒会修改exe文件的关联方式。这样,每次运行exe文件的时候都会激活病毒。
修改以下注册表项使得系统不显示隐藏文件,不显示已知文件扩展名,增强病毒隐蔽性。
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0x2
病毒显示一张刘德华的照片作为界面,鼠标单击后界面退出,但病毒仍在后台运行。
遍历并感染exe文件,将正常文件附在病毒尾部,图标保持不变,文件大小要增加610k。
枚举网络,将病毒复制到网络上其他机器的共享文件夹中,文件名为“我的照片.exe”,使这个后门有了蠕虫特性。
遍历进程和窗口,结束以下反病毒软件和防火墙:
pfw.exe,kvfw.exe,KAVPFW.EXE,iamapp.exe,nmain.exe,freepp.EXE,freekav.EXE,freesys.EXE,Iparmor.exe,trojan_hunter.exe,Rfw.exe,瑞星....
而且病毒会从硬盘上删除这些反病毒软件。这些都是在国内使用比较广泛的软件,可见病毒作者应该来自国内。
该木马是一个反弹木马,主动连接外部主机。连接上以后黑客可对受害机器进行多种操作,如获取系统信息,目录、文件浏览、上传下载、运行,删除,进程浏览、结束,注册表浏览、修改,监控键盘操作,添加账户.....
