词条 | Trojan-Clicker.Win32.Flyst.d |
释义 | 木马简介基本信息病毒名称: Trojan-Clicker.Win32.Flyst.d 病毒类型: 木马类 文件 MD5: D9B35CE327B68D7E6B1FA987E03D3CB6 公开范围: 完全公开 危害等级: 3 文件长度: 974,045 字节 感染系统: Windows98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型: 未知壳 具体描述近来,病毒在以“木马群”的新形式发展以外,还朝着另一个方向发展,那就是病毒不再专一的去盗取某一游戏或即时通迅的帐号与密码,而是先进行广泛的收集,再进行关键字筛选来进行病毒操作。例如本木马就是以gajkonline.exe 进行键盘记录的形式来记录信息,然后匹配关键字进行回传信息的。广告件与木马等类型不再分的那么明显,越来越趋于交叉化发展,例如本木马的另一主要目的就是弹出广告信息,达到宣传的目的。 行为分析本地行为1、 文件运行后会释放以下文件 %Temp%\\E_4\\eAPI.fne %Temp%\\E_4\\HtmlView.fne %Temp%\\E_4\\internet.fne %Temp%\\E_4\\krnln.fnr %Temp%\\E_4\\RegEx.fne %Temp%\\E_4\\shell.fne %Program Files%\\Common Files\\gajkonline.exe %Program Files%\\Common Files\\onlinegame\\gajkonline.exe 2、 新建注册表 [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] 注册表值:"run" 类型: REG_SZ 值: " C:\\PROGRA~1\\COMMON~1\\onlinegame\\gajkonline.exe" 描述:添加启动项,以达到随机启动的目的 3、以进程 gajkonline.exe 进行键盘记录 网络行为2、连接大量网址,以达到下载文件到本机,从而显示广告的目的,连接网址如下: http://www.txwork.cn/a.html http://www.77txt.com/soft/1027.htm http://www.hehe1234.cn/index.htm http://www.txwork.cn/html/1981.html http://www.txwork.cn/html/3600.html http://www.77txt.com/txt_106056/ http://www.77txt.com/txt_106959/ http://www.moyinge.com http://www.xunlei591.com/ http://windown.com.cn/pinpai.php?id=219 http://windown.com.cn/pinpai.php?id=510 http://windown.com.cn/pinpai.php?id=708 http://www.3199520.cn http://www.139767.cn http://www.jinluandian.com http://www.a8bt.com http://www.gulanjing.cn http://www.91580.cn http://www.txwork.cn http://webxunlei.com.cn/pinpai.php?id=479 http://webxunlei.com.cn/pinpai.php?id=350 http://webxunlei.com.cn/pinpai.php?id=322 http://ibaojian.com.cn/pinpai.php?id=149 http://ibaojian.com.cn/pinpai.php?id=207 http://ibaojian.com.cn/pinpai.php?id=1227 http://bailingliren.com.cn/pinpai.php?id=578 http://bailingliren.com.cn/pinpai.php?id=782 http://bailingliren.com.cn/pinpai.php?id=593 http://youxizixun.com.cn/pinpai.php?id=480 http://youxizixun.com.cn/pinpai.php?id=307 http://youxizixun.com.cn/pinpai.php?id=1170 http://cy777.com.cn/pinpai.php?id=355 http://cy777.com.cn/pinpai.php?id=89 http://cy777.com.cn/pinpai.php?id=403 2、主动弹出下列地址的网站: http://www.efaxcn.com/Info.php?wlb=WLB1 http://pop1.9v.cn/code/showpop.asp?from=27153&typeid=35&plugin=0&adsidRnd=3&furl=http://www.txwork.cn/html/6188.html&PN=c6768b5c08eea51bf71e7523c1d0255d 注释: %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动系统所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% 当前用户TEMP缓存变量;路径为: %Documents and Settings%\\当前用户\\Local Settings\\Temp %System32% 是一个可变路径; 病毒通过查询操作系统来决定当前System32文件夹的位置; Windows2000/NT中默认的安装路径是 C:\\Winnt\\System32; Windows95/98/Me中默认的安装路径是 C:\\Windows\\System; WindowsXP中默认的安装路径是 C:\\Windows\\System32。 四、 清除方案: 1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。 (1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程gajkonline.exe (2) 强行删除病毒文件 %Temp%\\E_4\\eAPI.fne %Temp%\\E_4\\HtmlView.fne %Temp%\\E_4\\internet.fne %Temp%\\E_4\\krnln.fnr %Temp%\\E_4\\RegEx.fne %Temp%\\E_4\\shell.fne %Program Files%\\Common Files\\gajkonline.exe %Program Files%\\Common Files\\onlinegame\\gajkonline.exe (3)删除病毒添加的注册表项 [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] 注册表值:"run" 类型: REG_SZ 值: " C:\\PROGRA~1\\COMMON~1\\onlinegame\\gajkonline.exe" |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。