| 词条 | Trojan-PSW.Win32.Delf.mr |
| 释义 | 病毒简介病毒名称: Trojan-PSW.Win32.Delf.mr 病毒类型: 木马 文件 MD5: 767A949CB776997D291110E536F0D33A 公开范围: 完全公开 危害等级: 中等 文件长度: 75,776字节 感染系统: windows98以上 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPX 0.89.6 命名对照: Symentec[Infostealer] Mcafee[PWS-LegMir.dll] 病毒描述:该病毒属于木马类病毒。病毒运行后释放病毒文件 %System%\\cnnscqq.dll 和%System%\\cnnscqq.exe。添加注册表启动项,以达到自启动的目的,修改注册表,并删除自身。在任务管理器显示为cnnscqq.exe进程,还在Explorer.exe进程中插入该病毒的进程。该病毒对用户有一定的危害。 行为分析: 1.该病毒运行后在系统目录下创建病毒文件,之后修改注册表。 2.病毒运行后创建的文件如下: %System%\\cnnscqq.dll %System%\\cnnscqq.exe 3.新建注册表项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run\\ 键名:键值:"cnnscqq.exe"=" C:\\windows\\system32 \\cnnscqq.exe " 修改注册表项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT \\CurrentVersion\\Winlogon\\ 原键名:键值:"Shell"="Explorer.exe" 新键名:键值:"Shell"="Explorer.exe C:\\windows \\system32\\cnnscqq.exe" 4、在Explorer.exe的进程中插如了C:\\windows\\system32\\cnnscqq.exe进程 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案 :1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 %System%\\cnnscqq.dll %System%\\cnnscqq.exe (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run\\ 键名:键值:"cnnscqq.exe"=" C:\\windows\\system32 \\cnnscqq.exe " 修改以下键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT \\CurrentVersion\\Winlogon\\ 原键名:键值:"Shell"="Explorer.exe C:\\windows \\system32\\cnnscqq.exe" 新键名:键值:"Shell"="Explorer.exe" |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。