Win32.Troj.Delf

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

12383

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马病毒,该病毒会从网络下载其他木马病毒到本地系统运行,还会下载一个hosts文件用以替换系统正常的hosts文件,禁止用户访问某网站并使某IP对应某些木马网站,一旦用户访问该IP,浏览器就会自动跳转到这些木马网站。

1.该病毒下载多个木马病毒到本地系统:

释放木马病毒Win32.Troj.QQRobber.fb到:

[临时文件夹]\qq[1].exe

[临时文件夹]\cq1[1].exe

C:\WINNT\System32\NTdHcP.exe

C:\WINNT\System32\cq2.exe

C:\ProgramFiles\CommonFiles\update\pp2.exe

释放病毒Win32.Troj.PSWThief.m到:

[临时文件夹]\gezi[1].exe

C:\ProgramFiles\CommonFiles\update\pp3.exe

C:\ProgramFiles\CommonFiles\System\svchost.exe

释放病毒Win32.Troj.Agent到:

[临时文件夹]\arsetup[1].exe

C:\ProgramFiles\CommonFiles\System\arsetup.exe

释放病毒释放病毒Win32.Troj.Delf.fd到:

[临时文件夹]\aichong[1].exe

C:\ProgramFiles\CommonFiles\update\pp4.exe

释放病毒Win32.Troj.Downloader.tr到:

[临时文件夹]\cq[1].exe

C:\ProgramFiles\CommonFiles\update\pp1.exe

释放病毒Win32.Troj.Small到:

[临时文件夹]\cq2[1].exe

C:\WINNT\System32\cq.exe

释放病毒Win32.Troj.Delf到:

C:\ProgramFiles\CommonFiles\update\update.exe

2.添加注册表启动项:

HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run

"NTdhcp"="C:\WINNT\System32\NTdhcp.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"svchost"="C:\ProgramFiles\CommonFiles\System\svchost.exe"

HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run

"ScanRegistry"="C:\ProgramFiles\CommonFiles\update\update.exe"

3.从网络上下载一hosts文件到临时文件夹并替换系统的hosts文件禁止用户访问某网站并使某IP对应某些木马网站。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航