2003-3-9日金山反病毒应急处理中心又捕获到一个新型的攻击型蠕虫病毒，该蠕虫主要攻击系统为NT/2000平台，通过探测445端口方式穷举管理员Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码，并殖入一个后门程序使得该机器的安全性降低到0。金山毒霸反病毒应急处理中心紧急提醒大家，一定要给自己的超级用户设定一个安全、强壮的密码。

　　以下是该病毒的初步分析结果：

　　病毒名称：Worm.DvLdr

　　病毒类型：PE蠕虫

　　传播方式：探测445端口连接穷举破解密码

　　病毒简介：该病毒体较大，包含数个可执行文件。主体程序为DvLdr32.exe，为VC++6编写，并采用aspack压缩过。病毒自带了两份命令行工具，分别是psexesvc和Remote process launcher，均为sysinternals发布的正常网络工具。并附带有一份安装包，负责在攻击成功之后，在宿主机器上安装VNC远程控制工具。

　　 该蠕虫运行后，随机选择两个IP段，连接对方445端口，该端口为Samba为和NT系统进行文件共享而开设端口。如果蠕虫连接此端口成功，则使用自身附带的一份字典进行穷举探测对方的administrator用户密码，一旦探测成功获得对方超级用户密码，则拷贝自身进入系统。登记注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

　　添加三项键值："TaskMan"="％1Fontsrundll32.exe"；"Explorer"="％1Fontsexplorer.exe"；"messnger"="％1system32Dvldr32.exe"。其中％1为被攻击机器的WinNT所在目录。Explorer.exe为VNC自带管理工具。并殖入VNC远程控制工具到被攻击系统中，同时修改了VNC的注册表配置，使得VNC服务端图标并不出现在系统托盘中。

　　处理方法：从以上的过程中，被攻击系统是否会被感染很大程度上取决于Aministrator的密码是否在蠕虫的字典列表中。如果蠕虫没有获得超级用户的密码，那么其后续的一系列感染动作都无从进行，所以金山毒霸应急处理中心再次提醒广大管理员一定要对Administrator设置一个强壮的密码。

　　如果不幸已经被蠕虫感染，那么除了及时更改密码，还需要结束掉此蠕虫的进程，清除它所做的一系列修改：

　　首先使用进程管理器结束掉dvldr32.exe进程。重新启动系统，确认没有drldr32.exe这个进程，然后删除文件：

　　％Windir％Fontsrundll32.exe

　　%WINDIR％Fontsexplorer.exe

　　%WINDIR％Fontsomnithread_rt.dll

　　%WINDIR％FontsVNCHooks.dll

　　%SYSTEMDIR%dvldr32.exe

　　％SYSTEMDIR%cygwin1.dll

　　%STARTMENU%ProgramsStartupINST.exe

　　清除注册表项目：

　　删除主键：HKEY_CURRENT_USERSoftwareORL

　　删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的三项键值：

　　"TaskMan"="％1Fontsrundll32.exe"

　　"Explorer"="％1Fontsexplorer.exe"

　　"messnger"="％1system32Dvldr32.exe"