“Trojan-PSW.Win32.Maran.cj”的意思、由来-中文百科全书

简介

病毒名称： Trojan-PSW.Win32.Maran.cj

中文名称：马瑞恩盗号者

病毒类型：木马类

文件 MD5： 2A08461A388D581B5E24E60828B7DB6C

公开范围：完全公开

危害等级： 4

文件长度： 48,525 字节

感染系统： Win9X以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： Upack 2.4 - 2.9 beta -> Dwing

命名对照： BitDefender[Generic.Malware.FB.078A76C8]

NORMAN[Security Risk W32/Suspicious_U.gen]

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下。修改用户 LSP项以实现病毒启动。病毒体注入

系统进程中获取用户敏感信息发往指定页面。

行为分析：

1 、衍生下列副本与文件：

%WinDir%\\ tl32v20.dll

%WinDir%\\svchost.exe

%System32%\\ tj7viewer.dll

2 、新建注册表键值：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\

Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000013\\PackedCatalogItem

Value: Type: REG_BINARY Length: 888 (0x378) bytes

%WINDOWS%\\System32\\tj7viewer.dll.

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\

Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000012\\PackedCatalogItem

Value: Type: REG_BINARY Length: 888 (0x378) bytes

%SystemRoot%\\system32\\mswsock.dll.??

3 、修改下列注册表键值：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\

Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000001\\PackedCatalogItem

New: Type: REG_BINARY Length: 888 (0x378) bytes

%WINDOWS\\System32\\tj7viewer.dll.

Old: Type: REG_BINARY Length: 888 (0x378) bytes

%SystemRoot%\\system32\\mswsock.dll.

4 、插入病毒体 svchost.exe 到所有系统进程中。

5 、病毒发送用户名与密码信息到某 PHP 页面中，格式如下：

http://XXX.com/logger.php

6 、病毒内发送与接收 emai 为用户自设，不固定。

7 、启动方式为通过改变 LSP 实现，也可设为 ActiveX 启动方式。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案：

1 、使用360安全卫士（安天木马防线）可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线断开网络，结束病毒进程：

%WinDir%\\svchost.exe

(2) 删除并恢复病毒添加与修改的注册表键值：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\

Services\\WinSock2\\Parameters\\Protocol_Catalog9\\

Catalog_Entries\\000000000013\\PackedCatalogItem

Value: Type: REG_BINARY Length: 888 (0x378) bytes

%WINDOWS%\\System32\\tj7viewer.dll.

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\

Services\\WinSock2\\Parameters\\Protocol_Catalog9\\

Catalog_Entries\\000000000012\\PackedCatalogItem

Value: Type: REG_BINARY Length: 888 (0x378) bytes

%SystemRoot%\\system32\\mswsock.dll

恢复下列为旧值 :

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\

Services\\WinSock2\\Parameters\\Protocol_Catalog9\\

Catalog_Entries\\000000000001\\PackedCatalogItem

New: Type: REG_BINARY Length: 888 (0x378) bytes

%WINDOWS\\System32\\tj7viewer.dll.

Old: Type: REG_BINARY Length: 888 (0x378) bytes

%SystemRoot%\\system32\\mswsock.dll.

(3) 删除病毒释放文件：

%WinDir%\\ tl32v20.dll

%WinDir%\\svchost.exe

%System32%\\ tj7viewer.dll

词条	Trojan-PSW.Win32.Maran.cj
释义	简介病毒描述：清除方案：简介病毒名称： Trojan-PSW.Win32.Maran.cj 中文名称：马瑞恩盗号者病毒类型：木马类文件 MD5： 2A08461A388D581B5E24E60828B7DB6C 公开范围：完全公开危害等级： 4 文件长度： 48,525 字节感染系统： Win9X以上系统开发工具： Borland Delphi 6.0 - 7.0 加壳类型： Upack 2.4 - 2.9 beta -> Dwing 命名对照： BitDefender[Generic.Malware.FB.078A76C8] NORMAN[Security Risk W32/Suspicious_U.gen] 病毒描述：该病毒运行后，衍生病毒文件到系统目录下。修改用户 LSP项以实现病毒启动。病毒体注入系统进程中获取用户敏感信息发往指定页面。行为分析： 1 、衍生下列副本与文件： %WinDir%\\ tl32v20.dll %WinDir%\\svchost.exe %System32%\\ tj7viewer.dll 2 、新建注册表键值： HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\ Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000013\\PackedCatalogItem Value: Type: REG_BINARY Length: 888 (0x378) bytes %WINDOWS%\\System32\\tj7viewer.dll. HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\ Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000012\\PackedCatalogItem Value: Type: REG_BINARY Length: 888 (0x378) bytes %SystemRoot%\\system32\\mswsock.dll.?? 3 、修改下列注册表键值： HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\ Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000001\\PackedCatalogItem New: Type: REG_BINARY Length: 888 (0x378) bytes %WINDOWS\\System32\\tj7viewer.dll. Old: Type: REG_BINARY Length: 888 (0x378) bytes %SystemRoot%\\system32\\mswsock.dll. 4 、插入病毒体 svchost.exe 到所有系统进程中。 5 、病毒发送用户名与密码信息到某 PHP 页面中，格式如下： http://XXX.com/logger.php 6 、病毒内发送与接收 emai 为用户自设，不固定。 7 、启动方式为通过改变 LSP 实现，也可设为 ActiveX 启动方式。注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。清除方案： 1 、使用360安全卫士（安天木马防线）可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线断开网络，结束病毒进程： %WinDir%\\svchost.exe (2) 删除并恢复病毒添加与修改的注册表键值： HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\ Services\\WinSock2\\Parameters\\Protocol_Catalog9\\ Catalog_Entries\\000000000013\\PackedCatalogItem Value: Type: REG_BINARY Length: 888 (0x378) bytes %WINDOWS%\\System32\\tj7viewer.dll. HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\ Services\\WinSock2\\Parameters\\Protocol_Catalog9\\ Catalog_Entries\\000000000012\\PackedCatalogItem Value: Type: REG_BINARY Length: 888 (0x378) bytes %SystemRoot%\\system32\\mswsock.dll 恢复下列为旧值 : HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\ Services\\WinSock2\\Parameters\\Protocol_Catalog9\\ Catalog_Entries\\000000000001\\PackedCatalogItem New: Type: REG_BINARY Length: 888 (0x378) bytes %WINDOWS\\System32\\tj7viewer.dll. Old: Type: REG_BINARY Length: 888 (0x378) bytes %SystemRoot%\\system32\\mswsock.dll. (3) 删除病毒释放文件： %WinDir%\\ tl32v20.dll %WinDir%\\svchost.exe %System32%\\ tj7viewer.dll
随便看	北京金域万豪大酒店北京金誉海投资咨询有限责任公司北京金元鼎安全技术咨询有限公司北京金源化学集团有限公司北京金源环宇电源科技有限公司北京金源时代科技有限公司北京金源网球俱乐部北京金源阳光文化发展有限公司北京金源耀业医药科技有限公司北京金运恒泰能源交通投资有限公司北京金运吉文化发展有限公司北京金韵早慧潜能科技开发研究院北京金泽金投资顾问有限公司北京金泽盛业商务服务有限公司北京金兆装饰公司北京金镇香酒业销售有限公司北京金正通达工贸有限公司北京金知博文化发展有限公司北京金至泰克科技有限公司北京金质商务酒店北京金中恒科技股份有限公司北京金种惠农农业科技发展有限公司北京金州恒基环保工程技术有限公司北京金蓓蕾幼儿园北京金泷瑚高尔夫俱乐部