词条 | 特洛伊病毒Win32.DlRhifrem!generic |
释义 | 病毒名称:特洛伊病毒Win32.DlRhifrem!generic 其它名称:TROJ_DLOADER.QAH (Trend), W32/SecRisk-ProcessPatcher-Sml-based!Max (F-Secure), Trojan-Downloader.Win32.Agent.bpw (Kaspersky) 病毒属性:特洛伊木马 危害性:中等危害 流行程度: 具体介绍: 病毒特性: Win32/DlRhifrem 是一族特洛伊病毒,它能够下载并运行Win32/Rhifrem trojan病毒。 DlRhifrem 是Rhifrem 的多个恶意程序的一部分。 感染方式: 我们收到的这个病毒伪装成Adobe .pdf文件,附加在垃圾邮件中发送给用户。它还可能包含在 .doc文件中到达。当使用Microsoft Word打开这个.doc文件时,它就会提示用户双击打开 .pdf 文件,随后在%Temp%目录中生成一个DLL文件update.html,并运行一个Internet Explorer但是不显示窗口。最后它将DLL注入到正在运行的iexplore.exe程序并退出。 注:%Temp%是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp",或 "C:\\WINDOWS\\TEMP"。 危害: 下载并运行任意文件/安装其它的恶意程序 当update.html 在 iexplore.exe中运行时,它会连接到远程主机,下载并运行一个Win32/Rhifrem trojan病毒变体。Rhifrem是很多恶意程序组的主要部分,通过安装很多不同的密码盗窃工具盗窃敏感信息,并通过VNC未经允许的控制被感染机器。同样的,被感染机器上存在的DlRhifrem可能进一步危害系统。 目前收到的Win32/DlRhifrem变体从以下位置下载: http://69.6.202.56/**/*******/updater.exe http://66.11.180.189/**/*******/update-11.exe http://66.116.220.202/**/*******/updater.exe 注:这些URL已经被修改。 清除: KILL安全胄甲最新版本可检测/清除此病毒。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。