| 词条 | Trojan-Downloader.Win32.Delf.ald |
| 释义 | Trojan-Downloader.Win32.Delf.ald 一款计算机木马病毒,该病毒运行后,首先在%Windir%下创建systemer.exe文件。而后连接网络,并运行雅虎助手和中文上网两个流氓软件,对用户用一定危害。可通过安装杀毒软件更新或手动删除排除安全隐患。 病毒简介病毒名称: Trojan-Downloader.Win32.Delf.ald 病毒类型: 木马类 文件 MD5: D1389043F9371EF017F2E143E7DB3A04 危害等级: 中等 文件长度: 138,240 字节 感染系统: Win98以上 开发工具: Borland Delphi 6.0 - 7.0 病毒描述该病毒运行后,首先在%Windir%下创建systemer.exe文件。而后连接http://www.*****5.com,下载若干个文件到本机运行并安装。安装后施放若干个文件,包括Trojan-Clicker.Win32.Delf.cy病毒文件,之后启动雅虎助手和中文上网两个流氓软件和%\\Windir\\101359.exe%文件(Packed.Win32.Klone.e),连接网络。该病毒对用户有一定危害。 行为分析1、修改注册表并添加开机启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run 字串:%\\WINdir\\%systemer.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run 字串:%:\\PROGRA~1\\%Yahoo!\\ASSIST~1\\YLive.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run 字串:%\\WINdir%systeres.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run 字串:"%\\PROGRA~1\\%Yahoo!\\Assistant\\yassistse.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run 字串:%\\Program Files\\%CNNIC\\Cdn\\cdnup.exe 2、释放文件列表: %\\WINdir%\\101359.exe 大小: 142,857, %\\WINdir%\\cx.exe 大小: 405,504, %\\WINdir%\\mrhl098.exe 大小: 545,792, %\\WINdir%\\rjzc168yassist.exe 大小: 226,448, %\\WINdir%\\system.txt 大小: 111, %\\WINdir%\\systemer.exe 大小: 44,544, %\\WINdir%\\systeres.exe 大小: 175,104, %\\WINdir%\\systeres.ini 大小: 175, 位置总数: 4 %\\WINdir\\System32\\%microsoft 大小: 0, %\\WINdir\\System32\\%cdn.dll 大小: 32,768, %\\WINdir\\System32\\%cdnns.dll 大小: 23,040, %\\WINdir\\System32\\%cdnprot.dat 大小: 4,931, %\\WINdir\\System32\\%cns.dat 大小: 70,480,cns.dll 大小: 32,768,cns.exe 大小: 28,672, %\\WINdir\\System32\\%microsoft 大小: 0, %\\Program Files\\%cnnic %\\Program Files\\%yahoo! 3、病毒运行后,以下列地址连接外网: TCP 1051 61.135.170.161 : 80 %\\WINdir\\%101359.exe 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 清除方案1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除以下文件: %\\WINdir%\\101359.exe %\\WINdir%\\cx.exe %\\WINdir%\\mrhl098.exe %\\WINdir%\\rjzc168yassist.exe %\\WINdir%\\system.txt %\\WINdir%\\systemer.exe %\\WINdir%\\systeres.exe %\\WINdir%\\systeres.ini %\\WINdir\\System32\\%microsoft %\\WINdir\\System32\\%cdn.dll %\\WINdir\\System32\\%cdnns.dll %\\WINdir\\System32\\%cdnprot.dat %\\WINdir\\System32\\%cns.dat %\\WINdir\\System32\\%microsoft %\\Program Files\\%cnnic %\\Program Files\\%yahoo! (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 字串:%\\WINdir\\%systemer.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run“ 字串:%:\\PROGRA~1\\%Yahoo!\\ASSIST~1\\YLive.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 字串:%\\WINdir%systeres.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 字串:"%\\PROGRA~1\\%Yahoo!\\Assistant\\yassistse.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 字串:%\\Program Files\\%CNNIC\\Cdn\\cdnup.exe |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。