Backdoor.Win32.Delf.awy病毒描述

发布网友 发布时间：2024-10-22 09:33

我来回答

共1个回答

热心网友 时间：2024-11-18 22:55

该病毒属于后门类，其主要特征在于，一旦运行，病毒将生成副本于当前文件夹，修改注册表，添加启动项，以实现随机启动。病毒还会利用衍生的 DLL 文件调用系统程序 arp.exe，用于清除系统 ARP 列表并发送 ARP 欺骗，以扫描局域网。此外，病毒还通过7599端口发送UDP包，但对host文件的操作并未成功。

具体行为如下：

1. 病毒运行后在当前文件夹衍生病毒文件：

病毒所在文件夹 CMD.DLL

病毒所在文件夹 WPC.DLL

2. 修改注册表，添加启动项，以实现随机启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters\TrapPollTimeMilliSecs 值：DWORD: 15000 (0x3a98)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值：字符串："InternetEx"="病毒所在文件夹 \ 病毒名 "

3. 利用病毒衍生的 DLL 文件调用系统程序 arp.exe，用于清除系统 ARP 列表并发送 ARP 欺骗，以扫描局域网。

4. 通过 7599 端口发送 UDP 包：

command:MeCon0r.q`V'|2wwowt0up#t0||!HbB.p#D&waBlbBbB.HbB

5. 对 host 文件的相应操作并未成功。

请注意，% System% 是一个可变路径，病毒会根据操作系统查询来决定当前 System 文件夹的位置。在 Windows2000/NT 中，默认路径为 C:\Winnt\System32，在 Windows95/98/me 中为 C:\Windows\System，而在 WindowsXP 中为 C:\Windows\System32。

热心网友 时间：2024-11-18 22:53

该病毒属于后门类，其主要特征在于，一旦运行，病毒将生成副本于当前文件夹，修改注册表，添加启动项，以实现随机启动。病毒还会利用衍生的 DLL 文件调用系统程序 arp.exe，用于清除系统 ARP 列表并发送 ARP 欺骗，以扫描局域网。此外，病毒还通过7599端口发送UDP包，但对host文件的操作并未成功。

具体行为如下：

1. 病毒运行后在当前文件夹衍生病毒文件：

病毒所在文件夹 CMD.DLL

病毒所在文件夹 WPC.DLL

2. 修改注册表，添加启动项，以实现随机启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters\TrapPollTimeMilliSecs 值：DWORD: 15000 (0x3a98)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值：字符串："InternetEx"="病毒所在文件夹 \ 病毒名 "

3. 利用病毒衍生的 DLL 文件调用系统程序 arp.exe，用于清除系统 ARP 列表并发送 ARP 欺骗，以扫描局域网。

4. 通过 7599 端口发送 UDP 包：

command:MeCon0r.q`V'|2wwowt0up#t0||!HbB.p#D&waBlbBbB.HbB

5. 对 host 文件的相应操作并未成功。

请注意，% System% 是一个可变路径，病毒会根据操作系统查询来决定当前 System 文件夹的位置。在 Windows2000/NT 中，默认路径为 C:\Winnt\System32，在 Windows95/98/me 中为 C:\Windows\System，而在 WindowsXP 中为 C:\Windows\System32。