转贴：Trojan-Downloader.Win32.Delf.ia摧毁注册表——安天CERT

一、病毒标签：

病毒名称： Trojan-Downloader.Win32.Delf.ia

病毒类型： 木马下载

危害等级： 中

文件长度： 21,504 字节

感染系统： windows 98 及以上版本

开发工具： Borland Delphi

加壳类型： UPX

二、病毒描述：
 
  　 该病毒属木马下载类型，病毒运行后会复制自身到系统目录下，大量修改注册表值，从而降低系统的安全设置。运行后，病毒还会从网络上下载其他病毒体到本地运行。病毒修改系统的注册表值后，当用户以图形方式浏览本地硬盘时，会提示“ Active 控件不安全”，导致用户不能直接浏览本地硬盘。该病毒对用户有一定的危害。

三、行为分析：
 
1 、病毒运行后会复制自身到 %system%\XPsys.exe ，并加入系统进程，
进程 id 为原病毒体名。 2 、病毒复制完自身后，会大量修改注册表文件，
修改 ie 设置，降低系统安全：

3 、病毒运行后会到 http://24-7-search.com/zad/run.php?71135
下载病毒体到本地 %system%\73725.exe ，休眠 1000 毫秒后运行。

4 、 修改 IE 设置，使用户无法正常浏览本地硬盘。
四、清除方案：
 
1、使用安天木马防线2005+可彻底清除此病毒(推荐)。

 
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。


 
附： 
  安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
  此贴原出自：
http://www.antiy.com/