反饋

DELF

據金山毒霸反病毒工程師分析，該病毒首先創建事件，防止病毒的多個實例同時運行，將自己複製到系統目錄，並把自己加載到註冊表中的啓動項，然後打開一個隨機端口等待黑客連接。

中文名: 灰鴿子
外文名: DELF
類別: 電腦病毒

威脅級別: ★★
傳播途徑: 網頁掛馬、文件捆綁
轉播方式: 到指定的IP去下載cssddan.exe

DELF簡介

“Delf”（Win32.Hack.Delf）

威脅級別：★★

病毒會到指定的IP和端口去下載文件cssddan.exe並運行，使得機器又感染一種病毒。該病毒會通過自帶的一個密碼錶，暴力破解遠程主機，直接將自身複製到遠程主機的某些默認共享的目錄，如果複製成功，就會遠程添加任務調試，讓病毒在遠程主機上自動運行，因而會感染更多的主機，使得局域網癱瘓。病毒還不停的開線程對某些IP段的445端口進行SYN攻擊，導致中毒機器資源耗盡而崩潰。

木馬程序 Trojan-Spy.Win32.Delf.enl

該木馬是一個使用Delphi編寫的間諜程序，長度為27,436字節，圖標為IE瀏覽器圖標，病毒擴展名為exe，主要傳播途徑為網頁掛馬、文件捆綁。

DELF病毒分析

當病毒被激活後，拷貝自身重命名為svchoxt.exe到%systemroot%\system32目錄下，生成EXE1.TMP到C:\Documents and Settings\Administrator\Local Settings\Temp目錄下,修改兩個文件屬性為隱藏和系統；添加註冊表啓動項使其隨系統一起啓動；關閉Windows防火牆\因特網連接共享服務；關閉以下所列防火牆和安全軟件提示；結束部分殺毒軟件和防火牆進程；訪問惡意網站下載病毒程序；遍歷窗口查找QQ登陸窗口，通過記錄鍵盤輸入獲取用户輸入QQ賬號和密碼，以郵件的形式發送給黑客；調用命令行將病毒原文件刪除。

病毒添加的註冊項：

項：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

鍵值：Winhoxt

指向文件：%systemroot%\system32\svchoxt.exe

病毒關閉的窗口：

Symantec AntiVirus 企業版

江民殺毒軟件 KV2004：實時監視

RavMonClass

TfLockDownMain

ZoneAlarm

ZAFrameWnd

天網防火牆個人版