病毒名稱:Win32.TrojanDownloader.Delf.NMM (avp)
基本介紹
- 中文名:realplayer.exe
- 病毒大小:1,744 位元組
- 加殼方式:UPX
- 傳染方式:通過其它病毒、木馬下載
病毒大小:31,744 位元組
加殼方式:UPX
傳染方式:通過惡意網站傳播,通過其它病毒、木馬下載
病毒分析:
1、Realplayer.exe運行後複製自身到系統目錄%System%Realplayer.exe,在%Windows%目錄下生成bat批處理刪除原檔案:
:try
del "Realplayer.exe"
if exist "Realplayer.exe" goto try
del %0
Realplayer.exe釋放%System%brlmon.dll,嘗試插入Explorer.exe進程。
2、創建啟動項:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"Realplayer.exe"="%System%Realplayer.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Realplayer.exe"="%System%Realplayer.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft NTWindowsCurrentVersionWinlogon]
"Shell"="Explorer.exe %System%Realplayer.exe"
3、修改IE主頁:
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Start Page"="hxtp://www.7939.com/"
4、設定註冊表信息:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDowninfo]
"vvad"="0"
以上註冊表信息和%System%brlmon.dll檔案大約每2秒會監視恢復。
5、終止其他進程:
fint2005.exe
Unlocker.exe
unlockerassistant.exe
HijackThis.exe
DLLShow.exe
RogueCleaner.exe
DosTools.exe
Killbox.exe
uihost.exe
6、嘗試關閉殺軟視窗:
瑞星註冊表監控提示
主動防禦 警報
AVP
7、自動連線down.Virussky.com,更新版本替換舊版本
解決方法:
1. 終止%System%Realplayer.exe進程
2. 終止%Windows%Explorer.exe進程
3. 通過任務管理器→新建任務→瀏覽系統盤,刪除病毒檔案:
%System%Realplayer.exe
%System%brlmon.dll
4. 然後在新建任務那裡,運行註冊表編輯器,刪除病毒啟動項:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"Realplayer.exe"="%System%Realplayer.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Realplayer.exe"="%System%Realplayer.exe"
5. 刪除病毒添加的註冊表信息:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft NT]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDown]
6.搜尋註冊表被修改的IE主頁,恢復默認。
