<menuitem id="yiypk"><noscript id="yiypk"><th id="yiypk"></th></noscript></menuitem><sup id="yiypk"></sup>
      <em id="yiypk"><ol id="yiypk"></ol></em>
      <sup id="yiypk"><menu id="yiypk"></menu></sup><em id="yiypk"></em>
        <div id="yiypk"><ol id="yiypk"><mark id="yiypk"></mark></ol></div>
        <em id="yiypk"><ins id="yiypk"></ins></em><sup id="yiypk"></sup>
        主題 : 7月5號病毒預報--木馬下載器Trojan-Downloader.Win32.Delf.a
        喝水都長膘
        級別: 正式版主

        顯示用戶信息
        0  發表于: 2008-07-04 23:43

        7月5號病毒預報--木馬下載器Trojan-Downloader.Win32.Delf.a

        Trojan-Downloader.Win32.Delf.a
        捕獲時間
        2008-07-04
        病毒摘要
        該樣本是使用VC編寫的下載程序,由微點主動防御軟件自動捕獲,采用ACProtect加殼方式試圖躲避特征碼掃描,加殼后長度為35,840字節,圖標為

        ,病毒擴展名為exe,主要通過網頁木馬、文件捆綁的方式傳播,病毒主要下載其他病毒程序。
        感染對象
        Windows 2000/Windows XP/Windows 2003
        傳播途徑
        網頁木馬、文件捆綁
        安全提示
          已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”,請直接選擇刪除處理(如圖1);

          如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Delf.a”,請直接選擇刪除(如圖2)。

            對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
        1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
        2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
        3、開啟windows自動更新,及時打好漏洞補丁。

        病毒分析
        該樣本程序被執行后,拷貝自身到目錄%SystemRoot%\system32下,維持原名不變;調用SCM寫注冊表,將病毒拷貝注冊成名為RemoteStorages的服務,使用相關API函數啟動被注冊的服務;以命令行的形式將病毒原文件刪除;
          Quote:
        項:HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorages\
        鍵值:DisplayName
        指向數據:Network Connections Management
        項:HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorages\
        鍵值:Description
        指向數據:Network Connections Management
        項:HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorages\
        鍵值:ImagePath
        指向文件:%SystemRoot%\system32\病毒原名
        項:HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorages\
        鍵值:Start
        指向數據:02
        服務代碼運行后,在%SystemRoot%\system32目錄下釋放動態庫RemoteStorage.dll;開啟IE進程,申請內存空間將動態庫RemoteStorage.dll寫入,使用遠程線程激活病毒代碼實現代碼注入逃避常規殺毒軟件的查殺,并訪問惡意網站下載其他病毒程序并運行。











        家里補差的
        級別: 管理員

        顯示用戶信息
        1  發表于: 2008-11-14 20:25

        謝謝樓主整理采集了!
        級別: 禁止發言
        顯示用戶信息
        2  發表于: 2009-12-21 17:34

        用戶被禁言,該主題自動屏蔽!
        級別: 禁止發言
        顯示用戶信息
        3  發表于: 2010-01-14 11:51

        用戶被禁言,該主題自動屏蔽!
        級別: 禁止發言
        顯示用戶信息
        4  發表于: 2010-02-06 17:32

        用戶被禁言,該主題自動屏蔽!
        山西快乐十分前三组技巧

          
          
          <menuitem id="yiypk"><noscript id="yiypk"><th id="yiypk"></th></noscript></menuitem><sup id="yiypk"></sup>
            <em id="yiypk"><ol id="yiypk"></ol></em>
            <sup id="yiypk"><menu id="yiypk"></menu></sup><em id="yiypk"></em>
              <div id="yiypk"><ol id="yiypk"><mark id="yiypk"></mark></ol></div>
              <em id="yiypk"><ins id="yiypk"></ins></em><sup id="yiypk"></sup>

                
                
                <menuitem id="yiypk"><noscript id="yiypk"><th id="yiypk"></th></noscript></menuitem><sup id="yiypk"></sup>
                  <em id="yiypk"><ol id="yiypk"></ol></em>
                  <sup id="yiypk"><menu id="yiypk"></menu></sup><em id="yiypk"></em>
                    <div id="yiypk"><ol id="yiypk"><mark id="yiypk"></mark></ol></div>
                    <em id="yiypk"><ins id="yiypk"></ins></em><sup id="yiypk"></sup>
                    北京时时怎么玩法 福建福老时时 极速赛走势图大全 新时时中奖怎么查 河北11选5开奖信息 众赢彩票官网下载 江西省新11选5遗漏数据 福黑龙江时时 时时彩官方开奖视频下载 中国福利彩票3d开奖结果