每日病毒及木马播报(2008-04-18)

日期：2008-04-18

病毒名称：Trojan-Downloader.Win32.Delf.jze

病毒类型：木马下载器

危害指数：2

传播途径：网页木马/文件捆绑

传播平台：WIN9X/WINME/WINNT/Windows 2000/Windows XP/Windows 2003


该程序是使用VB编写的下载程序，采用UPX加壳方式试图躲避特征码扫描，加壳后长度为14,422字节，图标为，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。该木马程序被执行后，将ntsd -c q -pn 360Safe.exe、ntsd -c q -pn 360tray.exe作为参数，通过API函数CreateProcessW试图将进程360Safe.exe、360tray.exe关闭；拷贝自身到%programfiles%Internet Explorer目录下，重命名为svchost.exe；以脚本的形式修改注册表自启动项达到随系统启动的目的；
 

 
将reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystem /v disableregistrytools /t REG_DWORD /d 2 /f作为参数，通过API函数CreateProcessW运行，达到禁用注册表编辑器的目的；开启IEXPLORE.EXE进程，申请内存空间将病毒部分代码写入，通过相关API函数激活病毒代码实现代码注入，使用API函数FtpGetFileW从网络上下载其他病毒和木马程序并运行。
 
墨者安全专家建议：

1.请开启墨者安全专家的“革离术”并根据提示创建安全用户，在安全用户下将获得墨者安全专家的实时防护，根据“革离术”特有的技术，判定为正常软件，给予默认放行。将陌生的的程序，提示给用户，然用户自行进行判断，将识别的恶意程序，给予“革离”使其失去运行的环境无法造成对系统的侵害。

2.建议已安装其他杀毒软件的用户，下载并安装墨者安全专家版，并开启“革离术”保护自己的杀毒软件，和其它计算机安全软件不会被此病毒所关掉，和破坏。以保障所使用的计算机安全防护软件能正常的运行和所有功能的正常使用。

3.点击墨者安全专家控制台——选择漏洞补丁——选择禁止优盘光驱自动运行。

4.请开启墨者安全专家的“革离术”进行实时防护，并使用系统安全漏洞中心，检查系统漏洞，发现漏洞请点击“修复”完成漏洞修补。

5.保持使用墨者安全豪华版套装中的正版趋势反病毒专家，进行对系统病毒经常扫描的习惯，发现病毒或者隐患及时清除。

6.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启，保持自动更新为最新病毒库，保证病毒及木马的及时发现及清除。
墨者安全专家最佳保护状态：