Win32.Troj.Delf

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

12383

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马病毒，该病毒会从网络下载其他木马病毒到本地系统运行，还会下载一个hosts文件用以替换系统正常的hosts文件，禁止用户访问某网站并使某IP对应某些木马网站，一旦用户访问该IP，浏览器就会自动跳转到这些木马网站。

1.该病毒下载多个木马病毒到本地系统：

释放木马病毒Win32.Troj.QQRobber.fb到：

[临时文件夹]\qq[1].exe

[临时文件夹]\cq1[1].exe

C:\WINNT\System32\NTdHcP.exe

C:\WINNT\System32\cq2.exe

C:\ProgramFiles\CommonFiles\update\pp2.exe

释放病毒Win32.Troj.PSWThief.m到：

[临时文件夹]\gezi[1].exe

C:\ProgramFiles\CommonFiles\update\pp3.exe

C:\ProgramFiles\CommonFiles\System\svchost.exe

释放病毒Win32.Troj.Agent到：

[临时文件夹]\arsetup[1].exe

C:\ProgramFiles\CommonFiles\System\arsetup.exe

释放病毒释放病毒Win32.Troj.Delf.fd到：

[临时文件夹]\aichong[1].exe

C:\ProgramFiles\CommonFiles\update\pp4.exe

释放病毒Win32.Troj.Downloader.tr到：

[临时文件夹]\cq[1].exe

C:\ProgramFiles\CommonFiles\update\pp1.exe

释放病毒Win32.Troj.Small到：

[临时文件夹]\cq2[1].exe

C:\WINNT\System32\cq.exe

释放病毒Win32.Troj.Delf到：

C:\ProgramFiles\CommonFiles\update\update.exe

2.添加注册表启动项：

HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run

"NTdhcp"="C:\WINNT\System32\NTdhcp.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"svchost"="C:\ProgramFiles\CommonFiles\System\svchost.exe"

HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run

"ScanRegistry"="C:\ProgramFiles\CommonFiles\update\update.exe"

3.从网络上下载一hosts文件到临时文件夹并替换系统的hosts文件禁止用户访问某网站并使某IP对应某些木马网站。