安天实验室    CERT
一、病毒标签：
病毒名称： Backdoor.Win32.Delf.auu
病毒类型： 后门类
文件 MD5： 129410A4BC445D7A6432CB0EDB2E0BD2
公开范围： 完全公开
危害等级： 4
文件长度： 697,344 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub
   
二、病毒描述：
   
该病毒为后门类，病毒运行后复制自身到系统目录，衍生病毒文件。为了能够顺利连接网络，不受拦截，把病毒文件添加到Windows防火墙默认放行列表中。连接网络下载病毒更新文件。该病毒还可连接远程控制端主机，等待受控。
   
三、行为分析：
   
本地行为:

1、 文件运行后会释放以下文件
%System32%\visAddst32.dat                    94
%System32%\vispe64.dll                        94,208
%System32%\vispe64.ldb                        64
%System32%\wbem\msll32.dll                    841 字节
%System32%\wbem\SACH0ST.exe                    697,344 字节

2、 新增注册表键值，把病毒文件添加到Windows防火墙默认放行列表：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\wbem\SACH0ST.exe
键值: 字符串: "C:\WINDOWS\system32\wbem\SACH0ST.exe:*:Enabled:Generic Hosts for WinService"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\wbem\SACH0ST.exe
键值: 字符串: "C:\WINDOWS\system32\wbem\SACH0ST.exe:*:Enabled:Generic Hosts for WinService"

3、该病毒的启动方式在行为中没有表现出来，判断该病毒是“木马群”中的一部分，通过“木马群”中的其它病毒体启动。“木马群”是通过协同工作能够完成一个或多个病毒功能的多个病毒组合。

网络行为:
       
1、连接网络下载病毒文件：
连接网络：
        update3.china9k.cn(59.39.59.102:80)

        下载病毒文件并自动运行：
eventrep.txt
setupurl.txt
运行后释放到%System32%目录下并重命名为：
%System32%\eventrep.dll
%System32%\mop32.dll

2、 该病毒为后门程序的受控端，具有自动寻找控制端的功能，一旦连接成功后，用户电脑将会受到控制端远程控制。
   
   
注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。
   
   
四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程SACH0ST.exe
       
(2) 强行删除病毒文件
    %System32%\visAddst32.dat
%System32%\vispe64.dll                       
%System32%\vispe64.ldb                       
%System32%\wbem\msll32.dll                   
%System32%\wbem\SACH0ST.exe                   
    %System32%\eventrep.dll
%System32%\mop32.dll

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\wbem\SACH0ST.exe
键值: 字符串: "C:\WINDOWS\system32\wbem\SACH0ST.exe:*:Enabled:Generic Hosts for WinService"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\wbem\SACH0ST.exe
键值: 字符串: "C:\WINDOWS\system32\wbem\SACH0ST.exe:*:Enabled:Generic Hosts for WinService"