微点交流论坛

标题: 木马程序 Trojan.Win32.Delf.bfa [打印本页]

作者: pioneer 时间: 2007-8-29 18:23 标题: 木马程序 Trojan.Win32.Delf.bfa

病毒名称

Trojan.Win32.Delf.bfa

捕获时间

2007年8月27日

病毒症状

   该木马程序运行后，在 C:\PROGRAM FILES\COMMON FILES目录下的SYSTEM和MICROSOFT SHARED文件夹中分别生成eumrfat.exe和ifacydg.exe文件；修改注册表将eumrfat.exe加入到系统启动项中，使得木马可以随系统启动自动运行；删除某些杀毒软件的启动项；激活木马程序eumrfat.exe后自动退出。

   eumrfat.exe运行后将在注册表项HKLM下的Image File Execution Options子项中新建多个注册表项，利用映像劫持技术恶意干扰多种杀毒软件运行，使多种杀毒软件无法正常工作；强行关闭用户打开的任务管理器；修改注册表Hidden项下的SHOWALL的键值，使得用户无法查看到隐藏文件；在除C盘以外的其它各个盘符的根目录下生成隐藏文件scilnyj.exe和autorun.inf，试图利用Windows自动播放功能传播；该木马程序还会主动修改注册表打开Windows的自动播放功能，使得曾经关闭自动播放功能试图预防Autorun病毒的用户，在双击打开盘符时病毒仍旧会自动运行。
   从网络下载木马主体程序，监视用户的鼠标键盘操作，待窃取用户信息后，以邮件方式或网页收信空间发送给黑客。

感染对象

Windows 98/ Windows ME/Windows XP/Windows 2000 /Windows 2003

传播途径

网页挂马，移动存储

安全提示

   已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

图1

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Trojan.Win32.Delf.bfa”，请直接选择删除（如图2）。

                           图2

   使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性，会自动终止某些杀毒软件运行，如果您的杀毒软件已经无法运行，您也可以尝试安装微点解决。

   没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

[ Last edited by pioneer on 2007-8-29 at 18:24 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn