Win32.TrojDownloader.Delf.137216是一種檔案捆綁器,病毒長度是135168。
基本介紹
- 中文名:Win32.TrojDownloader.Delf.137216
- 大類:病毒
- 分類:捆綁型
- 病毒長度:135168
病毒類型,病毒行為,
病毒類型
檔案捆綁器病毒長度:135168
影響系統:Win9xWinMeWinNTWin2000WinXPWin2003
病毒行為
這是一個捆綁型病毒。該病毒運行成功後,會自行刪除病毒源檔案,並且生成眾多被捆綁的
雅虎工具在系統目錄下。並且修改了啟動項,使用戶每次打開機器都會觸發病毒。瀏覽器的工具列會添加
許多病毒捆綁的雅虎工具。
1.病毒運行後,產生以下病毒檔案
在"開始"選單里會添加雅虎的大量相關檔案;
在%ProgramFiles%下添加"Yahoo!"資料夾;
%windows%\system32\jshelp.exe
%windows%\system32\10g78D10.dll
%windows%\system32\jsshow.dll
%widnows%\system32\UIXMEUJYODTHXM.DLL
%windows%\system32\drivers\jshelp.drv
%windows%\system32\drivers\jsshow.drv
%windows%\system32\wbem\WKYPHXMCSIXMCSH.MDA
%windows%\system32\wbem\WMCTMDTKBRHXOD.DLL
2.當病毒成功運行時,病毒源檔案會自行刪除。
3.在註冊表項,也被病毒添加了許多被病毒捆綁的雅虎相關項。
4.當打開瀏覽器不久,病毒進程yassistse.exe會自動運行。
5.在瀏覽器的工具列中,由病毒添加了許多雅虎相關的按鈕。
6.使用隱蔽軟體掃描,可以看見,有"異常shell",說明shell被病毒修改。
7.啟動項被添加了雅虎相關檔案
啟動項名:YLive.exe對應路徑:C:\ProgramFiles\Yahoo!\Assistant\YLive.exe
