該病毒屬木馬類,病毒運行後在資料夾%Program Files%下新建資料夾War3Monitor,並把衍生的檔案複製到此檔案上,刪除自身,修改註冊表,添加啟動項,以達到隨機啟動的目的,連線網路,下載病毒檔案。
基本介紹
- 外文名:Trojan-Downloader.Win32.Delf.baf
- 病毒類型:木馬
- 公開範圍:完全公開
- 危害等級:3
病毒標籤,行為分析,清除方案,
病毒標籤
病毒名稱: Trojan-Downloader.Win32.Delf.baf
檔案 MD5: FBD78C582F9A59E348AE940164539AA5
檔案長度: 157,696 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: ASPack 2.12
命名對照: Symentec[無]
BitDefender [無]
行為分析
1、病毒運行後在資料夾%Program Files%下新建資料夾War3Monitor,並把衍生的檔案複製到此檔案上,刪除自身:
%Program Files%\War3Monitor\War3Monitor.EXE
2、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值: 字串: "War3Monitor"="C:\Program Files\War3Monitor\War3Monitor.EXE"
3、病毒運行後連線網路:
http://www.uuu9.com/War3Monitor/war3monitor.ini(已失效)
http://www.uuu9.com/War3Monitor/newver.exe(已失效)
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%Program Files%\War3Monitor\War3Monitor.EXE
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
鍵值: 字串: "War3Monitor"="C:\Program Files
\War3Monitor\War3Monitor.EXE"
