Win32.Troj.Delf.qw

基本信息

處理時間：

威脅級別：★

中文名稱：惡毒者

影響系統：Win9X/ME/2000/XP/NT/2003

病毒行為:

編寫工具:

傳染條件:

發作條件:

系統修改:

傳播過程

A、將複製自己為%SysemRoot% empssshost.exe和%System%svshost.exe,檔案svshost.exe具有系統、隱藏、唯讀屬性。

B、嘗譽戰煮試刪除以下主鍵：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

嘗試刪除以下鍵值：

HKLMSoftWareMicrosoftwindowsCurrentVersionRun

下面的：

"SKYNET"，

"Personal FireWall"

"iDuba"

"iamapp"

"rfw"

"KVFW"項駝習元

C、添加以下主鍵：

HKEY_LOCAL_MACHINESOFTWAREmysoft

HKEY_LOCAL_MACHINESoftwarecontrol

在主鍵HKEY_LOCAL_MACHINESOFTWAREmysoft

添加以下鍵整芝照循值

"Version"=dword:000003e9

"con"="0&0"

D、修改以下鍵值：

HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand

@="C:WINNTSystem32svshost.exe "%1" %*"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN

"CheckedValue"=dword:2

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN

"DefaultValue"=dword:2

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

"HideFileExt"=dword:1

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

"Hidden"=dword:2

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

"DisableRegistryTools"=dword:1

"DisableTaskMgr"=dword:1

發作您雅現象:

A、修改註冊，采判設禁止用戶使用以及導入註冊表，禁止任務管理器，修改EXE檔案關聯到病毒程式，修改註冊表使得用戶無法顯示隱藏檔案。

B、記錄鍵盤信息,並將用戶的信息,如作業系統版本號，計算機名稱，工作組，用戶名等等傳送給木馬種植者。

C、打開後門，供木馬種植者上傳下載檔案。

D、該病毒會感染某些PE檔案，將自己寫到被感染檔案的開頭位置，然後在檔案末尾增加12個位元組，其中8個位元組作為感染標記，12個位元組如榆戰歡下：

E9 03 00 00 XX XX XX XX 44 44 44 44

E、殺掉預定義的防火牆，如天網防火牆，金山網鏢，毒霸防火牆，rfw，iamapp等。

pfw.exe，

kvfw.exe，

KAVPFW.EXE，乎才埋

iamapp.exe，

nmain.exe，

rfw.exe，

freepp.EXE，

freekav.EXE，

freesys.EXE，

Iparmor.exe，

trojan_hunter.exe，

taskmgr.exe

特別說明:

Win32.Troj.Delf.qw

基本介紹

基本信息

傳播過程

相關詞條

熱門詞條