Win32.Troj.Delf.qw,一种木马病毒呀联务求阿妈春个。
- 中文名称 Win32.Troj.Delf.qw
- 外文名称 Win32.Troj.Delf.qw
- 病毒别名 Backdoor.Delf.qw【AVP】
- 病毒类型 木马
基本信息
处理时间:
来自 威胁级别:★
中文名称:恶毒者
影响系统:Win9X/ME/2000/XP/NT/2003
病毒行为:
编写工具:
传染条件:
发作条件:
系统修改:
传播过学良似简皇清以油读冲程
A、将复制360百科自己为%SysemRoot均如研% empsssh宣读停各阿务组是爱ost.exe和%System%svshost.exe,文件svshost.exe具有系统、隐藏、只读属性。
B、尝染轮季员督到病美试删除以下主键:
燃选织苏 HKEY_LOCAL_MACHINESOFTWAR等宗局形换材衡翻著EMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
尝试删除以下键值:
HKLMSoftWareMicrosoftwindowsCurrentV歌益们ersionRun
下面的:
"SKYNET",
"Personal FireWall"
"iDuba"
"iamapp"
"rfw"
"KVFW"
C、添加以下主键:
HKEY_LOCAL_MACHINESOFTWAREmysoft
HKEY_LOCAL_MACHINESoftwarecontrol
在主键HKEY_LOCAL_MACHINESOF进护车田TWAREmysoft
添加以下键值
"Version"=dword:000003e9
"con"="0&0"
D、修改以下键值:
HKEY_LOCAL_MACHINESOFTWAREClassese直学文xefileshellopencommand
@="C:WINNT察重错节坚八System32svshost.exe "%1" %*"
HKEY_LOCAL_MACHINESOFTWAREMi便尼多直团心建而里号crosoftWindowsCurrentVersio利如山nExplorerAdvancedFolderHiddenNOHIDDEN
"CheckedValue"=dword:2
HKEY_LOCAL_MACHINESOFTWAREMi纸还始crosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN
"Defau微船ltValue"=dw矛ord:2
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
"HideFileExt"=dword:1
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplor延宽地掌料思概erAdvanced
"Hidden"=dword:白持下红列向效评每2
HKEY_LOCA台谈浓L_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
"DisableRegistryTools"=dword:1
"DisableTaskMgr"=dword:1
发作现象:
A、修改注册,禁止用户使用以及导入注册表,禁止任务管理器,修改EXE文件关联到病毒程序,修改注册表使得用户无法显示隐藏文件。
B、记录键盘信息,并将用户的信息,如操作系统版本号,计算机名称,工作组,用户名等等发送给木马种植者。
C、打开后门,供木马种植者上传下载文件。
D、该病毒会感染某些PE文件,将自己写到被感染文件的开头位置,然后在文件末尾增加12个字节,其中8个字节作为感染标记,12个字节如下:
E9 03 00 00 XX XX XX XX 44 44 44 44
E、杀掉预定义的防火墙,如天网防火墙,金山网镖,毒霸防火墙,rfw,iamapp等。
pfw.exe,
kvfw.exe,
KAVPFW.EXE,
iamapp.exe,
nmain.exe,
rfw.exe,
freepp.EXE,
freekav.EXE,
freesys.EXE,
Iparmor.exe,
trojan_hunter.exe,
taskmgr.exe
特别说明:
评论留言