木马下载器Win32.TrojDownloader.Delf.114688_病毒查杀

木马下载器Win32.TrojDownloader.Delf.114688病毒行为:
该病毒是一个木马下载者,会从网上下载其他病毒至客户的机器上并运行.病毒运行后生衍生一个DLL文件至系统目录中.

1.生成文件
%WinDir%\System32\Downdll.dll

2.修改注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
SavedLegacySettings = hex:3c,00,00,00,06,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,20,94,af,51,08,a1,c7,01,01,00,00,00,c0,a8,1c,f4,00,00,00,00,00,00,00,00,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FB5F1910-F110-11D2-BB9E-00C04F795683}\iexplore
Count = dword:00000005
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FB5F1910-F110-11D2-BB9E-00C04F795683}\iexplore
Time = hex:d7,07,08,00,04,00,10,00,06,00,19,00,38,00,9b,00,

3.病毒运行后创建一个IEXPLORE.EXE进程.

4.从http://www.*****.cn/images/js/az.exe下载病毒文件保存到c:盘根目录下.

5.在C:\Windows\system32下生成一个Delme.bat文件用于删除源文件.

时间: 2024-10-07 20:50:51

木马下载器Win32.TrojDownloader.Delf.114688_病毒查杀的相关文章

关于WIN32.EXE变态木马下载器的解决办法_病毒查杀

一.WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe 二.运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下:Kernels8.exe自网络下载1.dlb.2.dlb.....等一堆木马到当前用户文件夹中,并自动运行.下载的木马加载运行后,又从网络上下载其它木马/蠕虫. 木马/蠕虫完全下载

login.exe HGFS木马下载器的手动查杀方法_病毒查杀

样本信息:File: login.exe Size: 25428 bytes Modified: 2008年4月25日, 16:30:08 MD5: 9777E8C79312F2E3D175AA1F64B07C11 SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E CRC32: 5A562203 1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行 2.释放如下文件或者副本 %systemroot%\system32\Autoru

伪AVP恶意木马下载器专杀工具下载_病毒查杀

"伪AVP恶意木马"是一个恶性下载器,通过网页挂马.第三方软件漏洞等手段进入用户电脑,在电脑中疯狂占用系统资源,导致运行速度异常缓慢,并下载Winsys ARP攻击工具来实施ARP攻击,当局域网机器浏览网络时就会造成中毒. 中了"伪AVP恶意木马"的用户能在C盘下看到一个ver.txt的木马下载器,该下载器会创建服务名为WinCom的服务,并大量下载网游盗号木马,严重威胁用户网络虚拟财产的安全. 在360安全中心的百科(http://baike.360.cn)和论坛

木马下载器发现新变种 删除备份文件

国家计算机病毒应急处理中心4日说,通过对互联网的监测发现,近期出现"木马下载器"的新变种(Trojan_Downloader.YK). 专家说,该变种运行之后,会在受感染的计算机系统所有盘符的根目录下生成两个病毒文件,分别是可执行文件和配置文件. 如果用户用鼠标左键双击盘符,该变种就会立即被激活运行. 随后,木马会删除系统中所有的备份文件(扩展名为.GHO),感染所有的网页文件,将恶意网站代码插入网页文件中,使得计算机用户每次打开网页时,都会跳转到指定的恶意网站下载大量的病毒.木马等恶

木马下载器新变种出现秘密截获系统信息

月7日,国家计算机病毒应急处理中心发布信息说,通过对互联网的监测发现,近期出现"木马下载器"(Trojan_Downloader)新变种,提醒用户小心谨防. 该变种运行后,会自我复制到受感染操作系统中指定的文件目录下,并将其重新命名后保存.随之,变种会在受感染操作系统的后台检索系统相关注册表项,在计算机用户不知情的情况下,秘密截获操作系统中各项资源信息,例如:防火墙.浏览器IE默认首页.防病毒软件.系统版本.网卡物理地址(MAC地址).IP地址和系统软件等. 然后,变种会将截获到的系统

请小心:木马下载器出现新变种

国家计算机病毒应急处理中心通过对互联网的监测发现,近期"http://www.aliyun.com/zixun/aggregation/31723.html">木马下载器"新变种(Trojan_Downloader.CTB)出现,提醒用户小心谨防. 专家说,该变种运行后会将其自身复制到受感染操作系统的系统指定目录中,并运行一个可执行文件(文件名:base.exe),该可执行文件为易语言编写的变种执行体. 该变种首先会收集当前受感染操作系统的相关系统信息,判断系统的网络连

国家计算机病毒中心发现"木马下载器"新变种

国家计算机病毒应急处理中心7日发布信息说,通过对互联网的监测发现,近期出现"木马下载器"(Trojan_Downloader)新变种,提醒用户小心谨防.该变种运行后,会自我复制到受感染操作系统中指定的文件目录下,并将其重新命名后保存.随之,变种会在受感染操作系统的后台检索系统相关注册表项,在计算机用户不知情的情况下,秘密截获操作系统中各项资源信息, 例如:防火墙.浏览器IE默认首页.防病毒软件.系统版本.网卡物理地址(MAC地址).IP地址和系统软件等. 然后,变种会将截获到的系统信息

国家计算机病毒中心发现木马下载器新变种

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 中国国家计算机病毒应急处理中心3日发布信息说,通过对互联网的监测发现,近期出现"木马下载器"的变种(Trojan_Downloader.AFT),提醒用户小心防范. 专家指出,该变种通过网络传播,并且终止系统中防病毒软件的进程,使其无法正常运行.计算机用户很容易受到反复感染,彻底清除也比较困难. 该变种入侵感染计算机系统后

“木马下载器”伪装成Adobe Flash Player升级程序,攻击安卓用户

本文讲的是"木马下载器"伪装成Adobe Flash Player升级程序,攻击安卓用户, 根据ESET研究所最新研究成果,发现了一种伪装成Adobe Flash Player升级程序的安卓恶意软件下载器. 尽管早在2011年Adobe就表示将停止为移动设备开发 Flash Player,2012年,Flash Player正式退出 Android 平台.但是仍然无法避免网络犯罪分子滥用它,来诱使不知情的用户下载并安装他们的恶意程序.通常情况下,攻击者主要通过一个精心设计.高度仿真的外