Trojan-Downloader.Win32.Delf.bdc

1、 病毒運行後連線網路，下載病毒檔案並自動運行：

域名： 　IP ：

DoorLink.bhtmm.com/helper.exe　 61.172.202.46

www.k1*3.net/x*.exe 　208.113.141.24

2、 衍生和下載的病毒檔案：

%Documents and Settings%\( 計算機用戶名 )\Local Settings\

Temp\QQ.Exe Trojan.Win32.Delf.rf

%Program Files%\Common Files\Microsoft Shared\MSInfo\

InfoMs.Ime Trojan-Downloader.Win32.Delf.ady

%Program Files%\Internet Explorer\PLUGINS\

CDown.sys Trojan-PSW.Win32.Delf.uf

%Program Files%\Internet Explorer\PLUGINS\CDown.dll

3、 修改註冊表鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{5D06580A-08EB-4DD0-8425-DBB5198B30C}\InProcServer32\

鍵值 : 字串 : " @ "="%Program Files%\Internet Explorer\

PLUGINS\CDown.sys"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{C217767F-E340-49B8-85D3-3A72B9CD652F}\InProcServer32\

鍵值 : 字串 : @ "="%Program Files%\Common Files\Microsoft

Shared\ MSINFO\InfoMs.Ime"

4、 中此病毒後，計算機會彈出廣告件， 由於該病毒連線網路，下載其他病毒

檔案，所以併發症較多，不易手動清除。

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的

安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

--------------------------------------------------------------------------------

1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用 安天木馬防線 “進程管理”關閉病毒進程

(2) 刪除病毒檔案

%Documents and Settings%\( 計算機用戶名 )\Local Settings\Temp\QQ.Exe

%Program Files%\Common Files\Microsoft Shared\MSInfo\InfoMs.Ime

%Program Files%\Internet Explorer\PLUGINS\CDown.sys %Program Files%\Internet Explorer\PLUGINS\CDown.dll

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5D06580A-08EB-4DD0-8425-DDBB5198B30C}\InProcServer32\

鍵值 : 字串 : " @ "="%Program Files%\InternetExplorer\PLUGINS\CDown.sys" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}\InProcServer32\

鍵值 : 字串 : @ "="%Program Files%\Common Files\Microsoft Shared\ MSINFO\InfoMs.Ime"