基本介紹
病毒標籤,行為分析,修改系統時間與關閉360安全衛士,釋放檔案與網路行為,增加啟動項目,清除方案,刪除檔案,刪除啟動項目,
病毒標籤
檔案 MD5:677d306429b75433b1fff8e43bdd5a8a
命名對照:
F-SECURE Trojan-Downloader.Win32.Delf.cif 2.602
Dr.WEB Trojan.DownLoader.35124 5.423
AntiVir TR/Delphi.Downloader.Gen 3.531
行為分析
修改系統時間與關閉360安全衛士
cmd /c date 2000-01-01
cmd /c taskkill /im 360safe.exe /f
釋放檔案與網路行為
連線網路下載1-20.exe與down.exe存放在本地路徑:
%Program Files%\Internet Explorer\1.exe-20.exe
%Program Files%\Internet Explorer\down.exe
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
增加啟動項目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SVCH0ST"
Type: REG_EXPAND_SZ
Data: C:\Program Files\Internet Explorer\down.exe
清除方案
刪除檔案
用強制刪除工具[建議使用MJ寫的FileKill360]刪除下面列出的檔案並免疫。
c:\Program Files\Internet Explorer\down.exe
c:\Program Files\Internet Explorer\1.exe
..............省略2-19
c:\Program Files\Internet Explorer\20.exe
刪除啟動項目
[建議使用SRENG查看並刪除]:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{SVCH0ST}{C:\Program Files\Internet Explorer\down.exe} []
建議清除不掉病毒的用戶使用專殺程式進行清除和免疫。
【病毒風向標精英組:專殺工具下載】