【IT168 专稿】2007年更是原本就是病毒多生之年，网络中的病毒程序是一天多过一天，导至上网用户无意之间就会深受其害，一个不留神就将使系统成为病毒木马的隐匿之地。这不本人最近就遇上了 Trojan-Spy.Win32.Delf.enl木马程序。

    技术分析Trojan-Spy.Win32.Delf.enl
    该木马是一个使用Delphi编写的间谍程序，长度为27,436字节，图标为IE浏览器图标，病毒扩展名为exe，主要传播途径为网页挂马、文件捆绑等形式四处传播，感染的系统操作平台有：Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003。可以导至网络用户无形中被感染此病毒木马。当用户计算机被感染激活后，该病毒首先会将自身源体拷贝到用户电脑%systemroot%\system32目录下，并将其重命名为svchoxt.exe，随即在C:\Documents and Settings\Administrator\Local Settings\Temp目录下生存EXE1.TMP文件，并修改其属性为系统隐藏模式。

    当病毒完成上述条件后，并没有就此住手，而是依据病毒木马的常理进军注册表，在其启动项中添加自身项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\键值Winhoxt，其所指向的文件为%systemroot%\system32\svchoxt.exe以达到随机启动的目的，并强行关闭计算机中安装的部分防火墙程序、杀毒软件及第三方安全软件，如：噬菌体、TForm1、Tapplication、ZoneAlarm、RavMonClass、Tapplication、ZAFrameWnd、TfLockDownMain、木马克星、天网防火墙个人版、天网防火墙企业版、Symantec AntiVirus 企业版、江民杀毒软件 KV2004：实时监视，最后病毒木马将关闭因特网连接共享服务。

    完成这一切后，病毒开始自行后台访问互联网中的恶意网站并悄悄下载更多的病毒程序，以达扰乱系统的目的，让其成为病毒木马大本营。病毒成群后，程序开始查找本机的QQ登陆窗口，通过记录键盘输入获取用户输入QQ帐号和密码，以邮件的形式发送到恶意用户所指定的地址中，最后该病毒木马Trojan-Spy.Win32.Delf.enl程序将自行调用命令行将自身病毒原文件删除。