“Trojan-PSW.Win32.OnLineGames.ejq”的意思、由来-中文百科全书

Trojan-PSW.Win32.OnLineGames.ejq分析

Trojan-PSW.Win32.OnLineGames.ejq/zt.exe分析

G-AVR[Greysign]

一、病毒标签：

病毒名称： Trojan-PSW.Win32.OnLineGames.ejq

病毒类型：木马

文件 MD5：335edd56075b8d473ffd6f25e8f6c366

公开范围：完全公开

危害.等级： B

文件长度： 15.0 KB (15,366 字节)

加壳类型： Upack 0.3.9 beta2s壳

命名对照：

江民杀毒 TrojanSpy.Delf.aud

瑞星 Trojan.PSW.Win32.ZhengTu.yku

金山毒霸 Win32.Troj.OnlineGames.yi.81920

a-squared Trojan-PSW.Win32.OnLineGames.ejq

AntiVir TR/PSW.OnlineGames.ejq

二、病毒描述：

该病毒由其他下载者病毒下载，或者通过网页传播等途.径进行感染，注入进程，挂钩鼠标，键盘，系统信息等截取征途游戏.的敏感信息。

三、行为分析

修改注册表：

增加启动项目

HKEY_LOCAL_MACHINE\\SOF.TWARE\\Microsoft\\Windows\\CurrentVersion\\

Explorer\\ShellExecuteHooks ""

Type: REG_SZ

Data: rsztcpm.dll

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\

CurrentVersion\\Windows "AppInit_DLLs"

Old type: REG_SZ

New type: REG_SZ

Old data:

New data: rsztcpm.dll

关闭系统自动升级

HKEY_LOCAL_MACHINE\\SOF.TWARE\\Policies\\Microsoft\\Windows\\

WindowsUpdate\\AU "AUOptions"

Type: REG_DWORD

Data: 01, 00, 00, 00

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\

WindowsUpdate\\AU "NoAutoUpdate"

Type: REG_DWORD

Data: 01, 00, 00, 00

关闭WINDOWS防火墙

HKEY_LOCAL_MACHINE\\SYSTEM\\.ControlSet001\\Services\\SharedAccess\\

Parameters\\FirewallPolicy\\StandardProfile "EnableFirewall"

Type: REG_DWORD

Data: 00, 00, 00, 00

释放文件：

c:\\WINDOWS\\Fonts\\gezeand.fon

Date: 10-16-20.07 6:44 PM

Size: 93 bytes

c:\\WINDOWS\\system32\\rsztafg.dll

Date: 10-16-2007 6:44 PM

Size: 53 bytes

c:\\WINDOWS\\system32\\rsztcpm.dll

Date: 8-4-2004 6:44 PM

Size: 23,122 bytes

c:\\WINDOWS\\system32\\rsztcsp.exe

Date: 10-16-2007 6:42 PM

Size: 15,366 bytes

解决方案：

—删除文件—

c:\\WINDOWS\\Fonts.\\gezeand.fon

c:\\WINDOWS\\system32\\rsztafg.dll

c:\\WINDOWS\\system32\\rsztcpm.dll

c:\\WINDOWS\\system32\\rsztcsp.exe

—删除注册表—

HKEY_LOCAL_MACHINE\\SY.STEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile "EnableFirewall"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU "AUOptions"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU "NoAutoUpdate"

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

{rsztcpm.dll} []

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]

{logonui.exe} [(Verified)Microsoft Windows Publisher]

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

ShellExecuteHooks]

{}{C:\\WINDOWS\\system32\\rsztcpm.dll} []

【原文地址：http://secure.itdigger.com/2007/10/16/202415765.htm】

词条	Trojan-PSW.Win32.OnLineGames.ejq
释义	Trojan-PSW.Win32.OnLineGames.ejq分析 Trojan-PSW.Win32.OnLineGames.ejq/zt.exe分析 G-AVR[Greysign] 一、病毒标签：病毒名称： Trojan-PSW.Win32.OnLineGames.ejq 病毒类型：木马文件 MD5：335edd56075b8d473ffd6f25e8f6c366 公开范围：完全公开危害.等级： B 文件长度： 15.0 KB (15,366 字节) 加壳类型： Upack 0.3.9 beta2s壳命名对照：江民杀毒 TrojanSpy.Delf.aud 瑞星 Trojan.PSW.Win32.ZhengTu.yku 金山毒霸 Win32.Troj.OnlineGames.yi.81920 a-squared Trojan-PSW.Win32.OnLineGames.ejq AntiVir TR/PSW.OnlineGames.ejq 二、病毒描述：该病毒由其他下载者病毒下载，或者通过网页传播等途.径进行感染，注入进程，挂钩鼠标，键盘，系统信息等截取征途游戏.的敏感信息。三、行为分析修改注册表：增加启动项目 HKEY_LOCAL_MACHINE\\SOF.TWARE\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\ShellExecuteHooks "" Type: REG_SZ Data: rsztcpm.dll HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\ CurrentVersion\\Windows "AppInit_DLLs" Old type: REG_SZ New type: REG_SZ Old data: New data: rsztcpm.dll 关闭系统自动升级 HKEY_LOCAL_MACHINE\\SOF.TWARE\\Policies\\Microsoft\\Windows\\ WindowsUpdate\\AU "AUOptions" Type: REG_DWORD Data: 01, 00, 00, 00 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\ WindowsUpdate\\AU "NoAutoUpdate" Type: REG_DWORD Data: 01, 00, 00, 00 关闭WINDOWS防火墙 HKEY_LOCAL_MACHINE\\SYSTEM\\.ControlSet001\\Services\\SharedAccess\\ Parameters\\FirewallPolicy\\StandardProfile "EnableFirewall" Type: REG_DWORD Data: 00, 00, 00, 00 释放文件： c:\\WINDOWS\\Fonts\\gezeand.fon Date: 10-16-20.07 6:44 PM Size: 93 bytes c:\\WINDOWS\\system32\\rsztafg.dll Date: 10-16-2007 6:44 PM Size: 53 bytes c:\\WINDOWS\\system32\\rsztcpm.dll Date: 8-4-2004 6:44 PM Size: 23,122 bytes c:\\WINDOWS\\system32\\rsztcsp.exe Date: 10-16-2007 6:42 PM Size: 15,366 bytes 解决方案： —删除文件— c:\\WINDOWS\\Fonts.\\gezeand.fon c:\\WINDOWS\\system32\\rsztafg.dll c:\\WINDOWS\\system32\\rsztcpm.dll c:\\WINDOWS\\system32\\rsztcsp.exe —删除注册表— HKEY_LOCAL_MACHINE\\SY.STEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile "EnableFirewall" HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU "AUOptions" HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU "NoAutoUpdate" [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] {rsztcpm.dll} [] [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] {logonui.exe} [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ ShellExecuteHooks] {}{C:\\WINDOWS\\system32\\rsztcpm.dll} [] 【原文地址：http://secure.itdigger.com/2007/10/16/202415765.htm】
随便看	七须黄花菜七旭广告联盟七绪七绪香七轩茶七宣丸七宣圆七旋斩七雪七旬翁的博客集七寻记七寻记：穿越时空的少女七丫头七言七言·千古艰难惟一死七言·香魂一缕随风散七言·早知日后闲争气七言·众星罗列夜明深七言·走来名利无双地七言八语七言歌行七言古诗七言绝句七言律诗七言排律