Trojan/DelDoc木马深度解析与防御指南

2026年3月6日 互联网

一、木马技术特征与危害评估

Trojan/DelDoc(中文名”WORD文档杀手”)是一种采用VB语言编写的恶意程序,其核心危害在于针对Windows系统下的Office文档实施定向破坏。该木马通过修改文件扩展名、注册表键值等手段,实现隐蔽的文档删除与传播机制。

技术特征矩阵
| 特征维度 | 具体表现 |
|————————|—————————————————————————————————————|
| 编程语言 | Visual Basic 6.0 |
| 主体文件 | c:\windows\doc.exe 或 c:\windows\doc1.exe |
| 兼容平台 | Win9X/ME/NT/2000/XP/2003全系列 |
| 危险等级 | ★★★★(具备自我传播与系统级破坏能力) |
| 核心危害 | 批量删除.doc文件并修改扩展名为.COM |

该木马通过双重破坏机制实施攻击:

  1. 显性破坏:直接删除用户文档,造成数据丢失
  2. 隐性破坏:修改注册表隐藏文件扩展名,干扰用户识别真实文件类型

二、运行机制深度解析

1. 初始感染阶段

木马通过U盘自动运行机制实现传播,当感染设备接入计算机时,利用AutoRun.inf文件触发执行。其感染流程遵循以下逻辑:

  1. U盘接入  读取AutoRun.inf  执行doc.exe  释放辅助文件  建立持久化

2. 文件操作链

木马执行后建立完整的文件操作链:

  • 释放阶段:在C盘根目录生成ww.bat(批处理脚本)和ww.txt(日志文件)
  • 搜索阶段:递归扫描所有逻辑驱动器,定位.doc文件(支持NTFS流文件检测)
  • 处理阶段
    • 原始文件删除:调用DeleteFile API
    • 恶意复制:使用CopyFile API转移至c:\windows\wj\目录
    • 扩展名篡改:通过MoveFileEx修改为.COM

3. 注册表修改技术

木马通过修改以下注册表键值实现系统级破坏:

  1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  2. "HideFileExt"=dword:00000001  // 隐藏已知文件扩展名

此修改使得用户无法直接识别.COM伪装的文档文件,增加数据恢复难度。

4. 持久化机制

采用双重持久化策略:

  1. 启动项注入:修改注册表启动项 
    1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. "Windows Document"="c:\windows\doc.exe"
  2. 服务注册:创建系统服务实现后台运行

三、应急响应与数据恢复

1. 手动恢复流程

步骤1:注册表修复

  1. 按Win+R打开运行对话框,输入regedit
  2. 导航至上述HideFileExt键值
  3. 修改数值数据为0x00000000

步骤2:文件扩展名恢复

  1. 打开c:\windows\wj\目录
  2. 批量重命名.COM文件为.doc(建议使用批量重命名工具)
  3. 验证文件完整性(可通过文件头标识FF D9确认)

步骤3:系统清理

  1. 删除病毒主体文件及辅助文件
  2. 清除注册表启动项
  3. 执行全盘病毒扫描

2. 自动化恢复方案

对于企业环境,建议采用以下脚本实现批量恢复:

  1. @echo off
  2. :: 显示隐藏文件
  3. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t REG_DWORD /d 0 /f
  4. :: 批量重命名文件
  5. for /r c:\windows\wj\ %%f in (*.com) do (
  6.     ren "%%f" "%%~nf.doc"
  7. )
  8. :: 清理病毒残留
  9. del /f /q c:\ww.bat c:\ww.txt

四、系统化防御策略

1. 终端防护方案

  • 行为监控:部署具备HIPS(主机入侵防御)功能的安全软件
  • 文件保护:启用文档实时备份机制(建议采用增量备份策略)
  • U盘管控:禁用AutoRun功能,实施U盘白名单制度

2. 网络防护体系

  • 边界防护:部署下一代防火墙,拦截含可疑VB脚本的流量
  • 邮件网关:过滤包含.exe附件的邮件(尤其关注双扩展名文件)
  • 沙箱检测:对可疑文件实施动态行为分析

3. 企业级防护建议

  1. 终端标准化:统一安装EDR(终端检测与响应)系统
  2. 最小权限原则:限制普通用户对系统目录的写权限
  3. 定期审计:每月执行注册表完整性检查
  4. 应急演练:每季度开展数据恢复模拟演练

4. 云环境防护要点

对于采用云桌面的企业:

  • 启用快照策略,保留关键时间点系统镜像
  • 实施文件类型过滤,阻止.exe文件上传至共享存储
  • 配置日志告警,监控异常文件操作行为

五、技术演进趋势分析

当前恶意软件呈现以下发展趋势:

  1. 跨平台化:从Windows向macOS/Linux系统渗透
  2. 无文件化:采用内存驻留技术规避文件检测
  3. AI赋能:利用机器学习优化攻击路径选择
  4. 供应链攻击:通过合法软件更新渠道传播

针对Trojan/DelDoc类木马,建议安全团队:

  • 建立威胁情报共享机制
  • 开发自动化检测工具链
  • 定期更新YARA规则库
  • 实施攻防对抗演练

本文提供的防御方案经实际环境验证,可有效阻断Trojan/DelDoc木马的传播链条。建议系统管理员结合企业实际安全需求,构建多层次的防御体系,实现从终端到网络的全面防护。对于已感染系统,建议按照标准化流程实施应急响应,最大限度降低数据损失风险。

最新文章