[转帖]警惕酷猪蠕虫病毒Worm.Win32.Delf.by...

转帖：警惕酷猪蠕虫病毒Worm.Win32.Delf.by
　　
    Worm.Win32.Delf.by病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。病毒自动从某服务器下载大量盗号程序到本机运行，试图截获用户游戏帐号信息发送出去。

清除方案：
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1) 使用安天木马防线断开网络，结束病毒进程：
　　　　　　%WinDir%\cmdbcs.exe
　　　　　　%WinDir%\Kvsc3.exe
　　　　　　%WinDir%\msccrt.exe
　　　　　　%WinDir%\msppds.exe
　　　　　　%WinDir%\shualai.exe
　　　　　　%WinDir%\winform.exe
　 　 (2) 删除并恢复病毒添加与修改的注册表键值：
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
　　　　　　{DD7D4640-4464-48C 0-82F D-21338366D2D2}\
　　　　　　InProcServer32\@
　　　　　　Value: String: "C:\Program Files\InternetExplorer\
　　　　　　MoWang.tdm" 　　　　　　
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
　　　　　　{DD7D4640-4464-48C0-82FD-21338366D2D2}\
　　　　　　InProcServer32\ThreadingModel
　　　　　　Value: String: "Apartment"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Explorer\ShellExecuteHooks\
　　　　　　{42A612A4-4334-4424-4234-42261A31A236}
　　　　　　Value: String: "pdkpri.dll"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Explorer\ShellExecuteHooks\
　　　　　　{DD7D4640-4464-48C0-82FD-21338366D2D2}
　　　　　　Value: String: ""
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\cmdBcs
　　　　　　Value: String: "WINDIRcmdbcs.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\Kvsc3
　　　　　　Value: String: "WINDIRKvsc3.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\mscCrt
　　　　　　Value: String: "WINDIRmsccrt.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\mspPds
　　　　　　Value: String: "WINDIRmsppds.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\shuAlai
　　　　　　Value: String: "WINDIRshualai.exe /i"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\upxDnd
　　　　　　Value: String: "%\DOCUME~1%\ 当前用户名\
　　　　　　LOCALS~1\Temp\upxdnd.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\winForm
　　　　　　Value: String: "WINDIRwinform.exe"
　 　 (3) 删除病毒释放文件：
　　　　　　%WinDir%\cmdbcs.exe
　　　　　　%WinDir%\Kvsc3.exe
　　　　　　%WinDir%\msccrt.exe
　　　　　　%WinDir%\msppds.exe
　　　　　　%WinDir%\shualai.exe
　　　　　　%WinDir%\winform.exe
　　　　　　%System32%\cmdbcs.dll
　　　　　　%System32%\explorer.exe
　　　　　　%System32%\kupini.dll
　　　　　　%System32%\Kvsc3.dll
　　　　　　%System32%\msccrt.dll
　　　　　　%System32%\msppds.dll
　　　　　　%System32%\shualai.dll
　　　　　　%System32%\winform.dll

相关链接请参见：http://antiy.com/security/report/20070510.htm