样本来源：hxxp://www.down911.com/Setup_w0010.exe （把hxxp改为http)

病毒名称：Trojan-Downloader.Win32.Delf.axa（Kaspersky)
病毒文件：Setup_w0010.exe
壳类型：Nullsoft PiMP Stub[Nullsoft PiMP SFX] *
封装方式：NSIS

技术分析：

（注：D为我的系统所在盘，如果系统在C就改一下）
通过对Setup_w0010.exe解包分析发现，运行Setup_w0010.exe后，会在D:\Documents and

Settings\***\Local Settings\Temp文件夹下释放1.exe,2.exe,3.exe,4.exe,5.exe，[nsis].nsi共6个文件。(*为你的用户名）

其中[nsis].nsi文件内容如下：

SetOutPath $TEMP
File 1.exe
File 2.exe
File 3.exe
File 4.exe
File 5.exe
Execute 35 -1 1
Execute 45 -1 1
Execute 55 -1 1
Execute 65 -1 1
Execute 75 -1 1
Delete $TEMP\1.exe
Delete $TEMP\2.exe
Delete $TEMP\3.exe
Delete $TEMP\4.exe
Delete $TEMP\5.exe
Return

释放完1.exe至5.exe后，这5个文件会分别进行底层磁盘存取，SSM会有以下提示：

  进程：
  路径： D:\Documents and Settings\***\Local Settings\Temp\1.exe(*为你的用户名）
  信息：
  磁盘设备：
  \??\PhysicalDrive0

后边%system%下的rundll32.exe也会重复以上操作。

我这里测试结果是会从PhysicalDrive0读取到PhysicalDrive3。（注：我装了2块硬盘）

1.exe分析：

1.exe会调用%system%下的rundll32.exe文件，加载以下文件：
D:\Program Files\DeskAdTop\Run.dll，D:\Program Files\DeskAdTop\Mrup.exe。

1.exe进行注册表修改：
注册表键：HKCR\CLSID\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32
注册表值： （默认）
类型: REG_SZ
值： D:\PROGRA~1\DESKAD~1\deskipn.dll

1.exe调用%system%下的regsvr32.exe文件，加载DLL文件：D:\Program Files\DeskAdTop\deskipn.dll

regsvr32.exe访问注册表以下分支：
HKCR\CLSID\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32

regsvr32.exe进行注册表修改：

注册表键： HKCR\CLSID\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32
注册表值： （默认）
类型: REG_SZ
值： D:\PROGRA~1\DESKAD~1\deskipn.dll

1.exe成为启动项

注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： Desktop
类型: REG_SZ
值： D:\WINDOWS\system32\rundll32.exe "D:\Program Files\DeskAdTop\Run.dll" ,Rundll

以上为第一个循环。然后Setup_w0010.exe会依次调用2.exe,3.exe,4.exe,5.exe文件。

2.exe分析：

注册表修改：

注册表键： HKCR\CLSID\{16B770A0-0E87-4278-B748-2460D64A8386}\InprocServer32
注册表值： （默认）
类型: REG_SZ
值： D:\Documents and Settings\All Users\Application

Data\Microsoft\IEHelper\IEHelper_5045.dll

注册表键： HKCR\CLSID\{16B770A0-0E87-4278-B748-2460D64A8386}\InprocServer32


3.exe分析:

注册表修改：

注册表键：

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
注册表值： D:\DOCUME~1\***\LOCALS~1\Temp\3.exe
类型: REG_SZ
值： D:\DOCUME~1\***\LOCALS~1\Temp\3.exe:*:Enabled:DM(*为你的用户名）

4.exe分析：

加载为启动项

注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： D:\DOCUME~1\***\LOCALS~1\Temp\4.exe
类型: REG_SZ
值： D:\DOCUME~1\***\LOCALS~1\Temp\4.exe(*为你的用户名）


5.exe分析：
调用IE：

父级进程：
  路径： D:\Documents and Settings\***\Local Settings\Temp\5.exe(*为你的用户名）
  信息： 51网址导航 (51.ac.cn)
子级进程：
  路径： D:\Program Files\Internet Explorer\IEXPLORE.EXE
  信息： Internet Explorer (Microsoft Corporation)
  命令行："D:\Program Files\Internet Explorer\iexplore.exe"  -nohome

加载流氓软件DeskAdTop：

父级进程：
  路径： D:\Program Files\Internet Explorer\IEXPLORE.EXE
  信息： Internet Explorer (Microsoft Corporation)
子级进程：
  路径： D:\WINDOWS\system32\rundll32.exe
  信息： Run a DLL as an App (Microsoft Corporation)
  命令行：D:\WINDOWS\system32\rundll32.exe "D:\Program Files\DeskAdTop\Run.dll" ,Rundll


进程互访：

父级进程：
  路径： D:\Program Files\Internet Explorer\IEXPLORE.EXE
  信息： Internet Explorer (Microsoft Corporation)
子级进程：
  路径： D:\Program Files\Internet Explorer\iedw.exe
  信息： IE Crash Detection (Microsoft Corporation)
  命令行："D:\Program Files\Internet Explorer\iedw.exe" -h 664


EXPLORER.EXE程序然后挂起

进程创建：
父级进程：
  路径： D:\Program Files\Internet Explorer\iedw.exe
  信息： IE Crash Detection (Microsoft Corporation)
子级进程：
  路径： D:\WINDOWS\system32\verclsid.exe
  信息： Verify Class ID (Microsoft Corporation)
  命令行：/S /C {692F0339-CBAA-47E6-B5B5-3B84DB604E87} /I {93F2F68C-1D1B-11D3-A30E-00C04F79ABD1} /X 0x401


父级进程：
  路径： D:\Program Files\Internet Explorer\IEXPLORE.EXE
  信息： Internet Explorer (Microsoft Corporation)
子级进程：
  路径： D:\WINDOWS\system32\dwwin.exe
  信息： Microsoft Application Error Reporting (Microsoft Corporation)
  命令行：D:\WINDOWS\system32\dwwin.exe -x -s 688



全部执行完毕后，在SRENG日志中可以看到以下项：


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Desktop><D:\WINDOWS\system32\rundll32.exe "D:\Program Files\DeskAdTop\Run.dll" ,Rundll>  []
<D:\DOCUME~1\***\LOCALS~1\Temp\4.exe><D:\DOCUME~1\***\LOCALS~1\Temp\4.exe>  []
注：*为你的用户名


[PID: ***][D:\WINDOWS\system32\rundll32.exe]
    [D:\Program Files\DeskAdTop\Run.dll]  <><1, 0, 0, 1>

注：*为该进程当前PID值。


查杀方法：

该病毒清除起来很容易。

首先下载超级兔子魔法设置,下载地址：http://www.pctutu.com/download.asp
安装好后，运行超级兔子，点击主界面超级兔子清理王，点击左侧“专业卸载”,卸载所有安装状态为已安装的软件。卸载时不要打开任何浏览器和文件窗口。



关于FlashSys.sys文件已经查明：
FlashSys.sys是MSI Live Update程序的驱动文件。MSI=微星

卡巴报毒图

deskadtop流氓软件文件夹

超级兔子检测到的流氓软件

释放的5个文件

【回复“两个铁球”的帖子】

我的方法很原始。就是SSM弹出一个界面后复制上面文字。

这个监控软件也不错WinPatrol ，
http://www.winpatrol.com/