特洛伊病毒Win32.SillyDl.IQ

病毒特性：Win32.SillyDl.IQ是一种下载并运行其它恶意程序的特洛伊病毒，删除文件并修改hosts文件和其它系统设置。

感染方式：运行时，Win32.SillyDl.IQ复制到"%System%kernels32.exe"，并设置以下注册表键值，为了在每次系统时运行病毒：

HKLMSoftwareMicrosoftWindowsCurrentVerionRunsystem = "%System%kernels32.exe"

HKLMSoftwareMicrosfotWindow NTCurrentVersionWinlogonShell = "Explorer.exe %System%kernels32.exe"

在Windows 9x系统上，设置以下键值：

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesSystemTools = "%System%kernels32.exe"

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32； 95，98 和 ME 的是C:WindowsSystem； XP 的是C:WindowsSystem32。

危害:下载并运行其它恶意程序

SillyDl.IQ从"vxiframe.biz"域下载并运行很多其它的恶意文件。这些文件从%System%目录使用以下文件名运行：

vxh8jkdq1.exe

vxh8jkdq2.exe

vxh8jkdq5.exe

vxh8jkdq6.exe

vxh8jkdq7.exe

被特洛伊下载的恶意程序包括Win32.Slimad.C, Win32.Secdrop.FB, Win32.Fisec.A 和 a Win32.Tibser变体。

终止进程:如果以下进程正在运行，特洛伊会终止这些进程：

actalert.exe

alchem.exe

bargains.exe

bdl74125.exe

cmd32.exe

exdl.exe

fnnmqi.exe

hosts32.exe

iinstall.exe

installer2.exe

intron.exe

intronet.exe

ir.exe

istsvc.exe

lpt.exe

optimize.exe

powerscan.exe

printer32.exe

ptinter.exe

sidefind.exe

systime.exe

telnet.exe

teur.exe

ttgkirnl.exe

twink64.exe

usb.exe

ykyrtws.exe

WinClt.exe

Winad.exe

删除文件:特洛伊会删除%System%目录的以下文件：

host32.exe

telnet.exe.tmp

mouse.exe

com.exe

fnnmqi.exe

exdl.exe

exe2bin.exe

exul.exe

fastopen.exe

mscdexnt.exe

printer32.exe

ykyrtws.exe

lpt.exe

ir.exe

intron.exe

intronet.exe

twink32.exe

usb.exe

systime.exe

dktibs.exe

特洛伊会删除%Windows%目录的以下文件：

alchem.exe

adp8027-ISEARCHTECHS.exe

preInsTT.exe

preInsln.exe

preInMPP.exe

注：'%Windows%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:Winnt； 95，98 和 ME 的是C:Windows； XP 的是C:Windows。

还会删除%Temp%目录的以下文件：

bdl74125.exe

installer2.exe

msbb.exe

注：'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定当前Temp文件夹的位置。一般在以下路径："C:Documents and Settings<username>Local SettingsTemp", 或"C:WINDOWSTEMP"。

特洛伊还会删除以下文件：

C:<filename>.exe

C:Program FilesWebSiteViewer<filename>.exe

C:Program FilesWebSiteViewer<filename>.dir

这里的<filename>是从"120000"开始一直到"127499"中的一个数值。

例如：特洛伊将删除C:120000.exe, C:120001.exe, 等等一直到C:127499.exe。

修改Hosts文件Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%driversetchosts；在Windows 9x 系统中hosts文件位于%Windows%hosts。

SillyDl.IQ修改hosts文件，将以下域改为local host：

www.topcash.biz

topcash.biz

traffic2cash.biz

www.traffic2cash.biz

www.awmcash.biz

awmcash.biz

www.iframedollars.biz

iframedollars.biz

virgin-tgp.net

www.virgin-tgp.net

aaasexypics.com

www.aaasexypics.com

www.pizdato.biz

vesbiz.biz

www.vesbiz.biz

www.newiframe.biz

iframe.biz

www.iframe.biz

www.allforadult.com

allforadult.com

sexfiles.nu

awmdabest.com

www.sexfiles.nu

www.awmdabest.com

www.autoescrowpay.com

x.full-tgp.net

counter.sexmaniack.com

autoescrowpay.com

修改注册表系统设置特洛伊删除"HKLMSoftwareMicrosoftWindowsCurrentVersionRun"键值的以下键值，为了防止与这些键值相关的程序在系统启动时运行：

CashBack

ControlPanel

180ax

BullsEye Network

twink64.exe

Ukbybc

alchem

IST Service

Power Scan

Winad Client

Internet Optimizer

SysTime

还会删除"HKCUSoftwareMicrosoftWindowsCurrentVersionRun"键值的以下键值：

Usoa

twink64.exe

在Windows 9x上，从以下键值删除"InternetExplorer6.0"：

"HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices"

特洛伊设置以下注册表键值使任务管理器失效：

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr = '1'

特洛伊设置以下键值，将"213.159.117.133" 和 "209.8.20.130"I.P. 地址在Internet Explorer的安全设置中列为受限制的站点：

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapDomains213.159.117.133* = '4'

HKLMSoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapDomains213.159.117.133* = '4'

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapDomains209.8.20.130* = '4'

HKLMSoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapDomains209.8.20.130* = '4'