病毒别名：Net-Worm.Win32.Dedler.u [AVP]

处理时间：

威胁级别：★★

中文名称：德德乐

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个通过邮件传播的蠕虫病毒。该病毒发作的时候会关闭某些反病毒软件开启的服务；屏蔽某些反病毒网站，使得用户无法登陆；通过TCP 5190端口连接到login.icq.com 等待接收黑客发送来的命令；在本地收集邮件地址并将病毒做为附件，将邮件发送到邮件接收者。该病毒会给用户带来系统安全性严重下降，某些安全网站无法登陆，机器被黑客控制等重大威胁。

1)建立互斥体4D36E64A-E325-111E-BFC1-080C2BE11318，防止多个实例同时运行

2)将病毒拷贝到%System%\\csmrs.exe

3)在注册表中添加启动项

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"WindowsInstaller"="%System%\\csmrs.exe"

4)通过TCP 5190端口连接到login.icq.com 等待接收黑客发送来的命令

5)关闭下列安全软件开启的服务：

nwclntserv

wuauserv

navapsvc

Symantec Core LC

SAVScan

kavsvc

Network Client

Network Client Monitor

6)用来发送带毒邮件的名字：

Jacky

Kate

Denny

Julia

Neo

Alan

JJuan

Natan

Garry

Nick

Bob

John

7)病毒会屏蔽以下安全网站：

ids.kaspersky-labs.com

downloads2.kaspersky-labs.com

downloads1.kaspersky-labs.com

downloads3.kaspersky-labs.com

downloads4.kaspersky-labs.com

liveupdate.symantecliveupdate.com

liveupdate.symantec.com

update.symantec.com

download.mcafee.com

www.symantec.com

securityresponse.symantec.com

symantec.com

www.sophos.com

sophos.com

www.mcafee.com

mcafee.com

liveupdate.symantecliveupdate.com

www.viruslist.com

viruslist.com

f-secure.com

www.f-secure.com

kaspersky.com

kaspersky-labs.com

www.avp.com

www.kaspersky.com

avp.com

www.networkassociates.com

networkassociates.com

www.ca.com

ca.com

mast.mcafee.com

my-etrust.com

www.my-etrust.com

download.mcafee.com

dispatch.mcafee.com

secure.nai.com

nai.com

www.nai.com

update.symantec.com

updates.symantec.com

us.mcafee.com

liveupdate.symantec.com

customer.symantec.com

rads.mcafee.com

trendmicro.com

www.trendmicro.com

www.grisoft.com