病毒名称：特洛伊病毒Win32.DlRhifrem!generic

其它名称：TROJ_DLOADER.QAH (Trend), W32/SecRisk-ProcessPatcher-Sml-based!Max (F-Secure), Trojan-Downloader.Win32.Agent.bpw (Kaspersky)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

具体介绍：

病毒特性：

Win32/DlRhifrem 是一族特洛伊病毒，它能够下载并运行Win32/Rhifrem trojan病毒。 DlRhifrem 是Rhifrem 的多个恶意程序的一部分。

感染方式：

我们收到的这个病毒伪装成Adobe .pdf文件，附加在垃圾邮件中发送给用户。它还可能包含在 .doc文件中到达。当使用Microsoft Word打开这个.doc文件时，它就会提示用户双击打开 .pdf 文件，随后在%Temp%目录中生成一个DLL文件update.html，并运行一个Internet Explorer但是不显示窗口。最后它将DLL注入到正在运行的iexplore.exe程序并退出。

注：%Temp%是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp"，或 "C:\\WINDOWS\\TEMP"。

危害：

下载并运行任意文件/安装其它的恶意程序

当update.html 在 iexplore.exe中运行时，它会连接到远程主机，下载并运行一个Win32/Rhifrem trojan病毒变体。Rhifrem是很多恶意程序组的主要部分，通过安装很多不同的密码盗窃工具盗窃敏感信息，并通过VNC未经允许的控制被感染机器。同样的，被感染机器上存在的DlRhifrem可能进一步危害系统。

目前收到的Win32/DlRhifrem变体从以下位置下载：

http://69.6.202.56/**/*******/updater.exe

http://66.11.180.189/**/*******/update-11.exe

http://66.116.220.202/**/*******/updater.exe

注：这些URL已经被修改。

清除：

KILL安全胄甲最新版本可检测/清除此病毒。