病毒名称：Win32.TrojanDownloader.Delf.NMM （avp）

　　病毒大小：31,744 字节

　　加壳方式：UPX

　　传染方式：通过恶意网站传播，通过其它病毒、木马下载

　　病毒分析：

　　1、Realplayer.exe运行后复制自身到系统目录%System%Realplayer.exe，在%Windows%目录下生成bat批处理删除原文件：

　　:try

　　del "Realplayer.exe"

　　if exist "Realplayer.exe" goto try

　　del %0

　　Realplayer.exe释放%System%brlmon.dll，尝试插入Explorer.exe进程。

　　2、创建启动项：

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

　　"Realplayer.exe"="%System%Realplayer.exe"

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"Realplayer.exe"="%System%Realplayer.exe"

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoft NTWindowsCurrentVersionWinlogon]

　　"Shell"="Explorer.exe %System%Realplayer.exe"

　　3、修改IE主页：

　　[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

　　"Start Page"="hxtp://www.7939.com/"

　　4、设置注册表信息：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDowninfo]

　　"vvad"="0"

　　以上注册表信息和%System%brlmon.dll文件大约每2秒会监视恢复。

　　5、终止其他进程：

　　fint2005.exe

　　Unlocker.exe

　　unlockerassistant.exe

　　HijackThis.exe

　　DLLShow.exe

　　RogueCleaner.exe

　　DosTools.exe

　　Killbox.exe

　　uihost.exe

　　6、尝试关闭杀软窗口：

　　瑞星注册表监控提示

　　主动防御 警报

　　AVP

　　7、自动连接down.Virussky.com，更新版本替换旧版本

　　解决方法：

　　1. 终止%System%Realplayer.exe进程

　　2. 终止%Windows%Explorer.exe进程

　　3. 通过任务管理器→新建任务→浏览系统盘，删除病毒文件：

　　%System%Realplayer.exe

　　%System%brlmon.dll

　　4. 然后在新建任务那里，运行注册表编辑器，删除病毒启动项：

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

　　"Realplayer.exe"="%System%Realplayer.exe"

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"Realplayer.exe"="%System%Realplayer.exe"

　　5. 删除病毒添加的注册表信息：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoft NT]

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDown]

　　6.搜索注册表被修改的IE主页，恢复默认。