病毒名称:Trojan-Downloader.Win32.Delf.bki(Kaspersky)
病毒别名:Win32.DL.Multi.wjc(瑞星)
Win32.PSWTroj.OnlineGames.151552(毒霸)
病毒大小:37,888 字节
加壳方式:PE_Patch.UPX UPX
样本MD5:cfd6dfeba15ca1a8e4e62785cde4eb8d
样本SHA1:c5727423a6a4154f9360e78223bdf9482ef70024
发现时间:2007.6
更新时间:2007.6.6
关联病毒:
传播方式:恶意网页,其它病毒或木马下载
技术分析
木马运行后调用IE进程(iexplore.exe)下载其它木马程序。
复制自身到:
%ProgramFiles%\Common Files\System\wmids.exe
并运行,隐藏自身进程。
创建服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmids]
显示名:Windows Management Instrumentation Driver System
描述:与驱动程序间交换系统信息。
可执行文件的路径:%ProgramFiles%\Common Files\System\wmids.exe
清除步骤
1. 删除木马创建的服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmids]
2. 重新启动计算机
3. 删除木马文件:
%ProgramFiles%\Common Files\System\wmids.exe