病毒名称：Win32.TrojanDownloader.Delf.NMM （avp）

病毒大小：31,744 字节

加壳方式：UPX

传染方式：通过恶意网站传播，通过其它病毒、木马下载

病毒分析：

1、Realplayer.exe运行后复制自身到系统目录%System%Realplayer.exe，在%Windows%目录下生成bat批处理删除原文件：

:try

del "Realplayer.exe"

if exist "Realplayer.exe" goto try

del %0

Realplayer.exe释放%System%brlmon.dll，尝试插入Explorer.exe进程。

2、创建启动项：

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"Realplayer.exe"="%System%Realplayer.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Realplayer.exe"="%System%Realplayer.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft NTWindowsCurrentVersionWinlogon]

"Shell"="Explorer.exe %System%Realplayer.exe"

3、修改IE主页：

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

"Start Page"="hxtp://www.7939.com/"

4、设置注册表信息：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDowninfo]

"vvad"="0"

以上注册表信息和%System%brlmon.dll文件大约每2秒会监视恢复。

5、终止其他进程：

fint2005.exe

Unlocker.exe

unlockerassistant.exe

HijackThis.exe

DLLShow.exe

RogueCleaner.exe

DosTools.exe

Killbox.exe

uihost.exe

6、尝试关闭杀软窗口：

瑞星注册表监控提示

主动防御 警报

AVP

7、自动连接down.Virussky.com，更新版本替换旧版本

解决方法：

1. 终止%System%Realplayer.exe进程

2. 终止%Windows%Explorer.exe进程

3. 通过任务管理器→新建任务→浏览系统盘，删除病毒文件：

%System%Realplayer.exe

%System%brlmon.dll

4. 然后在新建任务那里，运行注册表编辑器，删除病毒启动项：

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"Realplayer.exe"="%System%Realplayer.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Realplayer.exe"="%System%Realplayer.exe"

5. 删除病毒添加的注册表信息：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft NT]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDown]

6.搜索注册表被修改的IE主页，恢复默认。