病毒名称： Trojan-Downloader.Win32.Delf.ald
病毒类型： 木马类
文件 MD5： D1389043F9371EF017F2E143E7DB3A04
危害等级： 中等
文件长度： 138,240 字节
感染系统： Win98以上
开发工具： Borland Delphi 6.0 - 7.0

　　 该病毒运行后，首先在%Windir%下创建systemer.exe文件。而后连接http://www.*****5.com,下载若干个文件到本机运行并安装。安装后施放若干个文件，包括Trojan-Clicker.Win32.Delf.cy病毒文件，之后启动雅虎助手和中文上网两个流氓软件和%\Windir\101359.exe%文件（Packed.Win32.Klone.e），连接网络。该病毒对用户有一定危害。

1、修改注册表并添加开机启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%\WINdir\%systemer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%:\PROGRA~1\%Yahoo!\ASSIST~1\YLive.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%\WINdir%systeres.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串："%\PROGRA~1\%Yahoo!\Assistant\yassistse.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%\Program Files\%CNNIC\Cdn\cdnup.exe

2、释放文件列表：

%\WINdir%\101359.exe 大小: 142,857，
%\WINdir%\cx.exe 大小: 405,504，
%\WINdir%\mrhl098.exe 大小: 545,792，
%\WINdir%\rjzc168yassist.exe 大小: 226,448，
%\WINdir%\system.txt 大小: 111，
%\WINdir%\systemer.exe 大小: 44,544，
%\WINdir%\systeres.exe 大小: 175,104，
%\WINdir%\systeres.ini 大小: 175，
位置总数: 4
%\WINdir\System32\%microsoft 大小: 0，
%\WINdir\System32\%cdn.dll 大小: 32,768，
%\WINdir\System32\%cdnns.dll 大小: 23,040，
%\WINdir\System32\%cdnprot.dat 大小: 4,931，
%\WINdir\System32\%cns.dat 大小: 70,480，cns.dll
大小: 32,768，cns.exe 大小: 28,672，
%\WINdir\System32\%microsoft 大小: 0，
%\Program Files\%cnnic
%\Program Files\%yahoo!

3、病毒运行后，以下列地址连接外网：

TCP　　1051　　61.135.170.161 : 80　　%\WINdir\%101359.exe

　　注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除以下文件：

%\WINdir%\101359.exe
%\WINdir%\cx.exe
%\WINdir%\mrhl098.exe
%\WINdir%\rjzc168yassist.exe
%\WINdir%\system.txt
%\WINdir%\systemer.exe
%\WINdir%\systeres.exe
%\WINdir%\systeres.ini
%\WINdir\System32\%microsoft
%\WINdir\System32\%cdn.dll
%\WINdir\System32\%cdnns.dll
%\WINdir\System32\%cdnprot.dat
%\WINdir\System32\%cns.dat
%\WINdir\System32\%microsoft
%\Program Files\%cnnic
%\Program Files\%yahoo!

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串：%\WINdir\%systemer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“
字串：%:\PROGRA~1\%Yahoo!\ASSIST~1\YLive.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串：%\WINdir%systeres.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串："%\PROGRA~1\%Yahoo!\Assistant\yassistse.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串：%\Program Files\%CNNIC\Cdn\cdnup.exe

　　木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。

• 高效木马查杀　
  采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。
  
• 系统安全管理
  提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。
  
• 实时网络防护
  全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。

　　安天信息技术有限责任公司（中国安天实验室,Antiy Labs），是一家以网络信息安全为主要领域的综合性信息技术研发型企业。公司在反病毒、信息水印等前沿领域积极探索，持续研发，拥有自有核心技术和产品。