Worm.Win32.Delf.bo

該病毒屬蠕蟲類，病毒圖示使用 IE 圖示，用以迷惑用戶點擊。病毒運行後衍生病毒檔案到系統目錄下，修改註冊表，添加啟動項，以達到隨機啟動的目的。嘗試結束防毒軟體及輔助工具的進程。 開啟 IEXPLORER.EXE 進程，把病毒衍生的檔案 death.dll 插入到 IEXPLORER.EXE 中。

1 、 病毒運行後衍生病毒檔案到系統目錄下：

%system32%\death.dll

%system32%\death.exe

%system32%\death.sishen

2 、 修改註冊表，添加啟動項，以達到隨機啟動的目的：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

鍵值 : 字串 : "Death.exe"="C:\WINDOWS\system32\Death.exe"

3 、 嘗試結束防毒軟體及輔助工具的進程：

PasswordGuard.exe

KVXP.KXP

KVMonXP.KXPSymantec AntiVirus 企業

Symantec AntiVirus 企業版

RavMon.exe

RavMonClassTfLockDownMain

TfLockDownMain

ZoneAlarm

ZAFrameWnd

天網防火牆個人版

Tapplication

天網防火牆企業版

Tapplication

VirusScan

Symantec AntiVirus

Duba

Wrapped gift KillerIceSword

IceSword

pjf(ustc)

TForm1

噬菌體

EGHOST.EXE

KAVPFW.EXE

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

AVP32.EXE

AVPCC.EXE

AVPM.EXE

NAVAPW32.EXE

nod32kui.exe

od32kru.exe

KAVPFW.exe

vsmon.exe

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmon.exe

KVXP.kxp

KVCenter.kxp

KRegEx.exe

UIHost.exe

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

runiep.exe

NoRealMode

時監視

ift KillerIceSword

lerIceSword

P3 2.EXE

CC .EXE

Ravmon.exe

4 、 結束威金病毒的進程：

Logo1_.exe

Logo_1.exe

Rundl132.exe

5 、 開啟 IEXPLORER.EXE 進程，把病毒衍生的檔案 death.dll 插入到 IEXPLORER.EXE 中。

6 、 指定時間向外傳送攻擊包。

註： % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 ， windows95/98/me 中默認的安裝路徑是 C:\Windows\System ， windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

--------------------------------------------------------------------------------

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )

2 、 手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用 安天木馬防線 “進程管理”關閉病毒進程

(2) 刪除病毒檔案：

%system32%\death.dll

%system32%\death.exe

%system32%\death.sishen

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

鍵值 : 字串 : "Death.exe"="C:\WINDOWS\system32\Death.exe"