一、 病毒标签：

病毒名称： Trojan-Downloader.Win32.Delf.epw

病毒类型： 下载者

公开范围： 完全公开
危害等级： C
开发工具： DELPHI
命名对照：  

二、 病毒描述：

该病毒为下载者，通过网页木马进行传播，网马下载来自mm.chsio.com的down.exe然后运行，再通过down.exe下载者病毒下载其他病毒到用户的电脑进行安装。

三、 行为分析：

病毒运行后会释放病毒体至TEMP文件夹（\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp）

然后建立一个服务：

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "DeleteFlag"

              Type: REG_DWORD

              Data: 01, 00, 00, 00

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "DisplayName"

              Type: REG_SZ

              Data: sys_flt

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "ErrorControl"

              Type: REG_DWORD

              Data: 01, 00, 00, 00

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt "ImagePath"

              Type: REG_EXPAND_SZ

              Data: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~28.tmp

再将自身复制到启动文件夹实现开机自启动。

病毒使用URLDownloadToFileA连接网络下载http://ing.xiaaooo.com/im/ctfmon.exe

然后通过WINEXEC加隐藏参数运行该病毒。

运行后一共添加以下文件：

c:\Documents and Settings\All Users\「开始」菜单\程序\启动\down.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~28.tmp

解决方案：

删除以下文件：

c:\Documents and Settings\All Users\「开始」菜单\程序\启动\down.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~28.tmp

删除服务项目：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys_flt

用HOSTS屏蔽ing.xiaaooo.com

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

A级
大面积感染流行，并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积，或者有鲜明的技术特点值得进一步关注，或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行，或虽然有一定感染流行面积，但是既往B级蠕虫变种。
D级
有极少量感染流行，但有一定潜在威胁。
E级
没有发现感染流行。