病毒名称:特洛伊病毒Win32.DlRhifrem!generic
其它名称:TROJ_DLOADER.QAH (Trend), W32/SecRisk-ProcessPatcher-Sml-based!Max (F-Secure), Trojan-Downloader.Win32.Agent.bpw (Kaspersky)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/DlRhifrem 是一族特洛伊病毒,它能够下载并运行Win32/Rhifrem trojan病毒。 DlRhifrem 是Rhifrem 的多个恶意程序的一部分。
感染方式:
我们收到的这个病毒伪装成Adobe .pdf文件,附加在垃圾邮件中发送给用户。它还可能包含在 .doc文件中到达。当使用Microsoft Word打开这个.doc文件时,它就会提示用户双击打开 .pdf 文件,随后在%Temp%目录中生成一个DLL文件update.html,并运行一个Internet Explorer但是不显示窗口。最后它将DLL注入到正在运行的iexplore.exe程序并退出。
注:%Temp%是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:Documents and Settings<username>Local SettingsTemp",或 "C:WINDOWSTEMP"。
危害:
下载并运行任意文件/安装其它的恶意程序
当update.html 在 iexplore.exe中运行时,它会连接到远程主机,下载并运行一个Win32/Rhifrem trojan病毒变体。Rhifrem是很多恶意程序组的主要部分,通过安装很多不同的密码盗窃工具盗窃敏感信息,并通过VNC未经允许的控制被感染机器。同样的,被感染机器上存在的DlRhifrem可能进一步危害系统。
目前收到的Win32/DlRhifrem变体从以下位置下载:
http://69.6.202.56/**/*******/updater.exe
http://66.11.180.189/**/*******/update-11.exe
http://66.116.220.202/**/*******/updater.exe
注:这些URL已经被修改。
清除:
KILL安全胄甲最新版本可检测/清除此病毒。