特洛伊病毒Win32.DlRhifrem!generic

基本信息

病毒名稱:特洛伊病毒Win32.DlRhifrem!generic
其它名稱:TROJ_DLOADER.QAH (Trend), W32/SecRisk-ProcessPatcher-Sml-based!Max (F-Secure), Trojan-Downloader.Win32.Agent.bpw (Kaspersky)
病毒屬性:特洛伊木馬危害性:中等危害流行程度:
具體介紹:
病毒特性:
Win32/DlRhifrem 是一族特洛伊病毒,它能夠下載並運行Win32/Rhifrem Trojan病毒。 DlRhifrem 是Rhifrem 的多個惡意程式的一部分。
感染方式:
我們收到的這個病毒偽裝成Adobe .pdf檔案,附加在垃圾郵件中傳送給用戶。它還可能包含在 .doc檔案中到達。當使用Microsoft Word打開這個.doc檔案時,它就會提示用戶雙擊打開 .pdf 檔案,隨後在%Temp%目錄中生成一個DLL檔案update.html,並運行一個Internet Explorer但是不顯示視窗。最後它將DLL注入到正在運行的iexplore.exe程式並退出。
註:%Temp%是一個可變的路徑。病毒通過查詢作業系統來決定Temp資料夾的位置。一般在以下路徑"C:\Documents and Settings\<username>\Local Settings\Temp",或 "C:\WINDOWS\TEMP"。

其他信息

危害:
下載並運行任意檔案/安裝其它的惡意程式
當update.html 在 iexplore.exe中運行時,它會連線到遠程主機,下載並運行一個Win32/Rhifrem trojan病毒變體。Rhifrem是很多惡意程式組的主要部分,通過安裝很多不同的密碼盜竊工具盜竊敏感信息,並通過VNC未經允許的控制被感染機器。同樣的,被感染機器上存在的DlRhifrem可能進一步危害系統。
目前收到的Win32/DlRhifrem變體從以下位置下載:
http://69.6.202.56/**/*******/updater.exe
http://66.11.180.189/**/*******/update-11.exe
http://66.116.220.202/**/*******/updater.exe
註:這些URL已經被修改。
清除:
KILL安全胄甲最新版本可檢測/清除此病毒。

相關詞條

相關搜尋

熱門詞條

聯絡我們