早上看到cnbeta上的这篇文章，回想起小编也中过一次这种病毒，所有的exe文件只能全部删掉了，往事不堪回首啊。

    今天论坛上一位朋友QQFucker提到中了千橡互联一个可怕的流氓软件 不同于以往的多使用插件,ROOTKIT技术的流氓软件,它居然用的是最无耻的感染EXE方式,几乎所有不大于5MB的EXE文件都会被感染,以下是原帖:

=======================
分割线

貌似中了Trojan-Downloader.Win32.Delf.axl
貌似卡巴是9月16号查出来的
貌似感染了所有分区上大约不大于5MB的EXE文件

我Google了一下:
king 在 avfbbs.80port.net 的帖子写道:

引用:
关于Trojan-Downloader.Win32.Delf.axl的一些东西
具体我不清楚大家是怎么感染的,我也没有卡巴来测试是否就是此病毒.
那么总结一下清除的大概方法.
这个木马程序,我分析以后发现,是个流氓软件 叫 千橡互联
一般中这东西也可能是软件某些捆上的.
他的情况是在你的系统盘 *:Documents and Settings你的用户名Templates目录下产生一个随机目录,,,大致是37d48bc 这样
我在一台感染机上发现的位置是这样的C:Documents and SettingsAdministratorTemplates37d48bc

该目录下有一个EXE文件和几个DLL文件组成,EXE文件负责向系统进程注入DLL文件.
你要想杀掉它,就必须结束系统的explorer.exe 同时不要打开IE,然后进行删除,,该软件会在线自动更新,具体位置是 http://dmww.dmcast.com/script/update.asp?version=%s
如果发现本机安装版本过时,就会自动更新新版程序,,非常的危险....

to 千橡互联:
感染所有EXE文件已经不是什么新技术了,
你用用Rootkit技术倒是无妨,无非是清除了感染,感染了再清除
可你不要用这样低劣的手段伤我们的心

分析
=======================
给我有一个被感染的文件,分析了一下 原来是直接把文件数据放到文件里,然后用自己去替换那个文件,类似加壳那样.被感染的文件一般会增加100KB左右
卡巴会报Trojan-Downloader.Win32.Delf.axl
但是无法清理干净被感染的EXE

技术细节
=============================
感染后文件OFFSET 34CH处一个dword的值标志着感染前文件被定位到哪里
然后文件的末尾一个dword则记录了感染前文件的长度

感染后还会到另一个网站去download一个包含了更多流氓软件的exe,有兴趣的可以继续反汇编那个delphi的SHELL

这里提供一个我写的修复工具re_qx.exe

下载:mj0011的网盘

可到我的网盘下载
用法是re_qx.exe 被感染文件 恢复的输出文件

例:
re_qx cmd.exe cmd_fix.exe
即可将被感染的cmd.exe恢复为正常的cmd_fix.exe
计算了一下hash,恢复后的和正常的HASH校验值是一样的
可以在命令行下使用,也可以用cmd写批处理来大批量恢复 也可以在程序中调用(要注明作者哦:P)
运行结果:
C:Documents and Settings***桌面>re_qx sqlexec.exe sql.exe
千橡感染EXE还原 By MJ0011 th_decoder@126.com
Infected file size=378433
Source file size=274493
Source file local at=103936
outputing file...
output file: sql.exe OK
==========================