“Worm.Win32.Delf.bo”的意思、由来-中文百科全书

基本信息

病毒名称： Worm.Win32.Delf.bo

病毒类型：蠕虫

文件 MD5： 54179FA38F3D19659DC3040BC3397EFE

公开范围：完全公开

危害等级： 4

文件长度： 76,288 字节

感染系统： Win9X以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.22

病毒描述

该病毒属蠕虫类，病毒图标使用 IE 图标，用以迷惑用户点击。病毒运行后衍生病毒文件到系统目录下，修改注册表，添加启动项，以达到随机启动的目的。尝试结束杀毒软件及辅助工具的进程。开启 IEXPLORER.EXE 进程，把病毒衍生的文件 death.dll 插入到 IEXPLORER.EXE 中。

行为分析

1 、病毒运行后衍生病毒文件到系统目录下：

%system32%\\death.dll

%system32%\\death.exe

%system32%\\death.sishen

2 、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

键值 : 字串 : "Death.exe"="C:\\WINDOWS\\system32\\Death.exe"

3 、尝试结束杀毒软件及辅助工具的进程：

PasswordGuard.exe

KVXP.KXP

KVMonXP.KXPSymantec AntiVirus 企业

Symantec AntiVirus 企业版

RavMon.exe

RavMonClassTfLockDownMain

TfLockDownMain

ZoneAlarm

ZAFrameWnd

天网防火墙个人版

Tapplication

天网防火墙企业版

Tapplication

VirusScan

Symantec AntiVirus

Duba

Wrapped gift KillerIceSword

IceSword

pjf(ustc)

TForm1

噬菌体

木马克星

EGHOST.EXE

KAVPFW.EXE

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

AVP32.EXE

AVPCC.EXE

AVPM.EXE

NAVAPW32.EXE

nod32kui.exe

od32kru.exe

KAVPFW.exe

vsmon.exe

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmon.exe

KVXP.kxp

KVCenter.kxp

KRegEx.exe

UIHost.exe

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

runiep.exe

NoRealMode

时监视

ift KillerIceSword

lerIceSword

P3 2.EXE

CC .EXE

Ravmon.exe

4 、结束威金病毒的进程：

Logo1_.exe

Logo_1.exe

Rundl132.exe

5 、开启 IEXPLORER.EXE 进程，把病毒衍生的文件 death.dll 插入到 IEXPLORER.EXE 中。

6 、指定时间向外发送攻击包。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

--------------------------------------------------------------------------------

清除方案

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线 “进程管理”关闭病毒进程

(2) 删除病毒文件：

%system32%\\death.dll

%system32%\\death.exe

%system32%\\death.sishen

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

键值 : 字串 : "Death.exe"="C:\\WINDOWS\\system32\\Death.exe"

词条	Worm.Win32.Delf.bo
释义	基本信息病毒描述行为分析清除方案基本信息病毒名称： Worm.Win32.Delf.bo 病毒类型：蠕虫文件 MD5： 54179FA38F3D19659DC3040BC3397EFE 公开范围：完全公开危害等级： 4 文件长度： 76,288 字节感染系统： Win9X以上系统开发工具： Borland Delphi 6.0 - 7.0 加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.22 病毒描述该病毒属蠕虫类，病毒图标使用 IE 图标，用以迷惑用户点击。病毒运行后衍生病毒文件到系统目录下，修改注册表，添加启动项，以达到随机启动的目的。尝试结束杀毒软件及辅助工具的进程。开启 IEXPLORER.EXE 进程，把病毒衍生的文件 death.dll 插入到 IEXPLORER.EXE 中。行为分析 1 、病毒运行后衍生病毒文件到系统目录下： %system32%\\death.dll %system32%\\death.exe %system32%\\death.sishen 2 、修改注册表，添加启动项，以达到随机启动的目的： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "Death.exe"="C:\\WINDOWS\\system32\\Death.exe" 3 、尝试结束杀毒软件及辅助工具的进程： PasswordGuard.exe KVXP.KXP KVMonXP.KXPSymantec AntiVirus 企业 Symantec AntiVirus 企业版 RavMon.exe RavMonClassTfLockDownMain TfLockDownMain ZoneAlarm ZAFrameWnd 天网防火墙个人版 Tapplication 天网防火墙企业版 Tapplication VirusScan Symantec AntiVirus Duba Wrapped gift KillerIceSword IceSword pjf(ustc) TForm1 噬菌体木马克星 EGHOST.EXE KAVPFW.EXE _AVP32.EXE _AVPCC.EXE _AVPM.EXE AVP32.EXE AVPCC.EXE AVPM.EXE NAVAPW32.EXE nod32kui.exe od32kru.exe KAVPFW.exe vsmon.exe Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmon.exe KVXP.kxp KVCenter.kxp KRegEx.exe UIHost.exe FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe runiep.exe NoRealMode 时监视 ift KillerIceSword lerIceSword P3 2.EXE CC .EXE Ravmon.exe 4 、结束威金病毒的进程： Logo1_.exe Logo_1.exe Rundl132.exe 5 、开启 IEXPLORER.EXE 进程，把病毒衍生的文件 death.dll 插入到 IEXPLORER.EXE 中。 6 、指定时间向外发送攻击包。注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 -------------------------------------------------------------------------------- 清除方案 1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线 “进程管理”关闭病毒进程 (2) 删除病毒文件： %system32%\\death.dll %system32%\\death.exe %system32%\\death.sishen (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "Death.exe"="C:\\WINDOWS\\system32\\Death.exe"
随便看	琼州学院继续教育学院琼州学院教育科学学院琼州学院教育援外基地琼州学院体育学院琼珠花园琼柱琼弁琼葩琼蕤琼妃琼玑琼珂琼珉琼瑛琼钑琼璇琼楠小煤炱樟变种琼毂琼扉琼睇琼鸾琼蟾琼罂琼笥琼箫