请输入您要查询的百科知识:

 

词条 Trojan-Clicker.Win32.Flyst.d
释义

木马简介

基本信息

病毒名称: Trojan-Clicker.Win32.Flyst.d

病毒类型: 木马类

文件 MD5: D9B35CE327B68D7E6B1FA987E03D3CB6

公开范围: 完全公开

危害等级: 3

文件长度: 974,045 字节

感染系统: Windows98以上版本

开发工具: Microsoft Visual C++ 6.0

加壳类型: 未知壳

具体描述

近来,病毒在以“木马群”的新形式发展以外,还朝着另一个方向发展,那就是病毒不再专一的去盗取某一游戏或即时通迅的帐号与密码,而是先进行广泛的收集,再进行关键字筛选来进行病毒操作。例如本木马就是以gajkonline.exe 进行键盘记录的形式来记录信息,然后匹配关键字进行回传信息的。广告件与木马等类型不再分的那么明显,越来越趋于交叉化发展,例如本木马的另一主要目的就是弹出广告信息,达到宣传的目的。

行为分析

本地行为

1、 文件运行后会释放以下文件

%Temp%\\E_4\\eAPI.fne

%Temp%\\E_4\\HtmlView.fne

%Temp%\\E_4\\internet.fne

%Temp%\\E_4\\krnln.fnr

%Temp%\\E_4\\RegEx.fne

%Temp%\\E_4\\shell.fne

%Program Files%\\Common Files\\gajkonline.exe

%Program Files%\\Common Files\\onlinegame\\gajkonline.exe

2、 新建注册表

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

注册表值:"run"

类型: REG_SZ

值: " C:\\PROGRA~1\\COMMON~1\\onlinegame\\gajkonline.exe"

描述:添加启动项,以达到随机启动的目的

3、以进程 gajkonline.exe 进行键盘记录

网络行为

2、连接大量网址,以达到下载文件到本机,从而显示广告的目的,连接网址如下:

http://www.txwork.cn/a.html

http://www.77txt.com/soft/1027.htm

http://www.hehe1234.cn/index.htm

http://www.txwork.cn/html/1981.html

http://www.txwork.cn/html/3600.html

http://www.77txt.com/txt_106056/

http://www.77txt.com/txt_106959/

http://www.moyinge.com

http://www.xunlei591.com/

http://windown.com.cn/pinpai.php?id=219

http://windown.com.cn/pinpai.php?id=510

http://windown.com.cn/pinpai.php?id=708

http://www.3199520.cn

http://www.139767.cn

http://www.jinluandian.com

http://www.a8bt.com

http://www.gulanjing.cn

http://www.91580.cn

http://www.txwork.cn

http://webxunlei.com.cn/pinpai.php?id=479

http://webxunlei.com.cn/pinpai.php?id=350

http://webxunlei.com.cn/pinpai.php?id=322

http://ibaojian.com.cn/pinpai.php?id=149

http://ibaojian.com.cn/pinpai.php?id=207

http://ibaojian.com.cn/pinpai.php?id=1227

http://bailingliren.com.cn/pinpai.php?id=578

http://bailingliren.com.cn/pinpai.php?id=782

http://bailingliren.com.cn/pinpai.php?id=593

http://youxizixun.com.cn/pinpai.php?id=480

http://youxizixun.com.cn/pinpai.php?id=307

http://youxizixun.com.cn/pinpai.php?id=1170

http://cy777.com.cn/pinpai.php?id=355

http://cy777.com.cn/pinpai.php?id=89

http://cy777.com.cn/pinpai.php?id=403

2、主动弹出下列地址的网站:

http://www.efaxcn.com/Info.php?wlb=WLB1

http://pop1.9v.cn/code/showpop.asp?from=27153&typeid=35&plugin=0&adsidRnd=3&furl=http://www.txwork.cn/html/6188.html&PN=c6768b5c08eea51bf71e7523c1d0255d

注释:

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动系统所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% 当前用户TEMP缓存变量;路径为:

%Documents and Settings%\\当前用户\\Local Settings\\Temp

%System32% 是一个可变路径;

病毒通过查询操作系统来决定当前System32文件夹的位置;

Windows2000/NT中默认的安装路径是 C:\\Winnt\\System32;

Windows95/98/Me中默认的安装路径是 C:\\Windows\\System;

WindowsXP中默认的安装路径是 C:\\Windows\\System32。

四、 清除方案:

1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。

(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程gajkonline.exe

(2) 强行删除病毒文件

%Temp%\\E_4\\eAPI.fne

%Temp%\\E_4\\HtmlView.fne

%Temp%\\E_4\\internet.fne

%Temp%\\E_4\\krnln.fnr

%Temp%\\E_4\\RegEx.fne

%Temp%\\E_4\\shell.fne

%Program Files%\\Common Files\\gajkonline.exe

%Program Files%\\Common Files\\onlinegame\\gajkonline.exe

(3)删除病毒添加的注册表项

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

注册表值:"run"

类型: REG_SZ

值: " C:\\PROGRA~1\\COMMON~1\\onlinegame\\gajkonline.exe"

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 11:08:25