高危木马Trojan.Win32.Delf.dal分析与解决方案

　　超巡警团队捕获该样本后，对该样本进行了分析。该病毒运行后释放病毒副本到各个逻辑驱动器的根目录下，对安全软件进行映像劫持，使安全软件失效，删除安全模式，并卸载杀毒软件的主动防御，该病毒会严重干扰用户使用计算机。 超级巡警团队提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。

　　一、病毒相关分析：

　　病毒标签：

　　病毒名称：Trojan.Win32.Delf.dal

　　病毒类型：木马

　　危害级别：3

　　感染平台：Windows

　　病毒大小：39,181 字节

　　SHA1　： EDEB41444AE3921FCC3AF1E0D8952855CAE65FBD

　　加壳类型：FSG

　　开发工具：Borland Delphi

　　病毒行为：

　　1、病毒运行以后释放文件：

　　%SystemDrive%\autorun.inf

　　%SystemDrive%\zhangxin.exe

　　%DriveLetter%\autorun.inf

　　%DriveLetter%\ zhangxin.exe

　　%system%\ zhangxin.exe

　　2、添加注册表映像劫持，导致用户运行安全软件，实际运行的是病毒程序，被劫持的安全软件如下：

　　360hotfix.exe、360rpt.exe、360Safe.exe、360safebox.exe、360tray.exe、adam.exe、

　　AgentSvr.exe、AntiArp.exe、AppSvc32.exe、arvmon.exe、AutoGuarder.exe、autoruns.exe

　　avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、

　　FileDsty.exe、findt2005.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、

　　iparmo.exe、Iparmor.exe、IsHelp.exe、isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、

　　KASMain.exe 、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、

　　KAVSetup.exe、KAVStart.exe、killhidepid.exe、KISLnchr.exe、KMailMon.exe、

　　KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、

　　KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、kvfw.exe、KvfwMcl.exe、

　　KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、

　　KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、

　　KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、loaddll.exe、MagicSet.exe、

　　mcconsol.exe、mmqczj.exe、mmsk.exe、NAVSetup.exe、nod32krn.exe、nod32kui.exe、

　　PFW.exe、PFWLiveUpdate.exe、QHSET.exe、Ras.exe、Rav.exe、RavCopy.exe、

　　RavMon.exe、RavMonD.exe、RavStore.exe、RavStub.exe、ravt08.exe、RavTask.exe、

　　RegClean.exe、rfwcfg.exe、rfwmain.exe、rfwolusr.exe、rfwProxy.exe、rfwsrv.exe

　　RsAgent.exe、Rsaupd.exe、runiep.exe、safebank.exe、safeboxTray.exe、safelive.exe、

　　scan32.exe、shcfg32.exe、smartassistant.exe、SmartUp.exe、SREng.EXE、SREngPS.exe、

　　symlcsvc.exe、syscheck.exe、Syscheck2.exe、SysSafe.exe、ToolsUp.exe、

　　TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、

　　UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、WoptiClean.exe、zxsweep.exe、修复工具.exe

　　3、添加注册表自启动项，使病毒在启动计算机后能自启动：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ZhangXin"

　　Type: REG_SZ

　　Data: C:\WINDOWS\system32\ zhangxin.exe

　　4、删除安全模式相关注册表键值，导致用户无法正常进入安全模式：

　　HKEY_LOCAL_MACHINE\SYSTEM\Contr