【IT168 专稿】2007年更是原本就是病毒多生之年，网络中的病毒程序是一天多过一天，导至上网用户无意之间就会深受其害，一个不留神就将使系统成为病毒木马的隐匿之地。这不本人最近就遇上了 Trojan-Spy.Win32.Delf.enl木马程序。

    技术分析Trojan-Spy.Win32.Delf.enl
    该木马是一个使用Delphi编写的间谍程序，长度为27,436字节，图标为IE浏览器图标，病毒扩展名为exe，主要传播途径为网页挂马、文件捆绑等形式四处传播，感染的系统操作平台有：Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003。可以导至网络用户无形中被感染此病毒木马。当用户计算机被感染激活后，该病毒首先会将自身源体拷贝到用户电脑%systemroot%\system32目录下，并将其重命名为svchoxt.exe，随即在C:\Documents and Settings\Administrator\Local Settings\Temp目录下生存EXE1.TMP文件，并修改其属性为系统隐藏模式。

    当病毒完成上述条件后，并没有就此住手，而是依据病毒木马的常理进军注册表，在其启动项中添加自身项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\键值Winhoxt，其所指向的文件为%systemroot%\system32\svchoxt.exe以达到随机启动的目的，并强行关闭计算机中安装的部分防火墙程序、杀毒软件及第三方安全软件，如：噬菌体、TForm1、Tapplication、ZoneAlarm、RavMonClass、Tapplication、ZAFrameWnd、TfLockDownMain、木马克星、天网防火墙个人版、天网防火墙企业版、Symantec AntiVirus 企业版、江民杀毒软件 KV2004：实时监视，最后病毒木马将关闭因特网连接共享服务。

    完成这一切后，病毒开始自行后台访问互联网中的恶意网站并悄悄下载更多的病毒程序，以达扰乱系统的目的，让其成为病毒木马大本营。病毒成群后，程序开始查找本机的QQ登陆窗口，通过记录键盘输入获取用户输入QQ帐号和密码，以邮件的形式发送到恶意用户所指定的地址中，最后该病毒木马Trojan-Spy.Win32.Delf.enl程序将自行调用命令行将自身病毒原文件删除。

    病毒预防
    面对如此恶劣的病毒，用户一但中招将是一种无群的烦脑，那么如何提高自身的安全意识就显得哟尤为重要，只有当自身的警惕之心提升了，那么在对这种以网页由捆绑文件达到传输目的病毒木马预防起来就显得十分简单。

    一、在面对陌生网址时，如无打开的必要就将其略过，如果好奇心太重非要打开，那么在打开前要将本机所安装的杀毒软件与第三方安全软件的升级文件进行更新，以到最新版本。

    二、对于网络中下载或陌生人之前传输的程序文件，为了避免软件捆绑，用户在打开前有必要利用第三方安全检测软件进行检测，如：火狐文件捆绑数据检测工具、EXE捆绑检测工具、木马捆绑克星、下载者监视器等。

    清除Trojan-Spy.Win32.Delf.enl
    以感染该病毒的用户可以安装微点主动防御软件，无论您是否已经升级到最新版本，微点都能够有效清除该间谍程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理。而将该软件每级到最新版本后，微点将报警提示您发现“Trojan-Spy.Win32.Delf.enl”，请直接选择删除即可将该病毒清理出受感染的计算机。

    如果网民选用不同的杀毒软件，那么请将病毒库更新到最新版本，并开启网络防火墙功能进行拦截网络异常访问，以便于即时发现未知的不明程序，着手清理。（小提示：由于该Trojan-Spy.Win32.Delf.enl具有特殊性，可能将用户正在使用的杀毒软件自行关闭，此时用户应安装微点软件进行清理后，在安装杀软，以保证操作系统的安全。）

    编者按：遇到病毒并不可怕，可怕的病毒一个接着一个，不同的病毒杀法也不尽相同，作为网络用户或第三方移动存储设备的用户应时刻保持警惕，以免让恶意用户利用恶意网页或程序攻破系统，只有将危险降到最低，才能更大程度的保证自身安全。