病毒别名：Backdoor.Delf.qw【AVP】

处理时间：

威胁级别：★

中文名称：恶毒者

病毒类型：木马

影响系统：Win9X/ME/2000/XP/NT/2003

病毒行为:

编写工具:

传染条件:

发作条件:

系统修改:

A、将复制自己为%SysemRoot% empssshost.exe和%System%svshost.exe,文件svshost.exe具有系统、隐藏、只读属性。

B、尝试删除以下主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

尝试删除以下键值：

HKLMSoftWareMicrosoftwindowsCurrentVersionRun

下面的：

"SKYNET"，

"Personal FireWall"

"iDuba"

"iamapp"

"rfw"

"KVFW"

C、添加以下主键：

HKEY_LOCAL_MACHINESOFTWAREmysoft

HKEY_LOCAL_MACHINESoftwarecontrol

在主键HKEY_LOCAL_MACHINESOFTWAREmysoft

添加以下键值

"Version"=dword:000003e9

"con"="0&0"

D、修改以下键值：

HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand

@="C:WINNTSystem32svshost.exe "%1" %*"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN

"CheckedValue"=dword:2

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN

"DefaultValue"=dword:2

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

"HideFileExt"=dword:1

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

"Hidden"=dword:2

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

"DisableRegistryTools"=dword:1

"DisableTaskMgr"=dword:1

发作现象:

A、修改注册，禁止用户使用以及导入注册表，禁止任务管理器，修改EXE文件关联到病毒程序，修改注册表使得用户无法显示隐藏文件。

B、记录键盘信息,并将用户的信息,如操作系统版本号，计算机名称，工作组，用户名等等发送给木马种植者。

C、打开后门，供木马种植者上传下载文件。

D、该病毒会感染某些PE文件，将自己写到被感染文件的开头位置，然后在文件末尾增加12个字节，其中8个字节作为感染标记，12个字节如下：

E9 03 00 00 XX XX XX XX 44 44 44 44

E、杀掉预定义的防火墙，如天网防火墙，金山网镖，毒霸防火墙，rfw，iamapp等。

pfw.exe，

kvfw.exe，

KAVPFW.EXE，

iamapp.exe，

nmain.exe，

rfw.exe，

freepp.EXE，

freekav.EXE，

freesys.EXE，

Iparmor.exe，

trojan_hunter.exe，

taskmgr.exe

特别说明: