词条 | Trojan-PSW.Win32.OnLineGames.zc |
释义 | 简介病毒名称: Trojan-PSW.Win32.OnLineGames.zc 病毒类型: 木马 文件 MD5: 439C9F0863824FD0A4B664F86E17FCDC 公开范围: 完全公开 危害等级: 4 文件长度: 27,648 字节 感染系统: windows98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型: 无 病毒描述该病毒属木马类,病毒运行后衍生病毒文件 winform.dll 到 %ssytem32% 文件夹下,备份自 身到 %WINDIR% 文件夹下,并删除自身,释放内存; winform.dll 插入到系统进程 explorer.exe 中;修改注册表,添加启动项,以达到随机启动的目的;关闭 瑞星、金山、诺顿、 Mcafee 等反 病毒软件进程;该病毒遍历进程列表,如有 my.exe (盗号类病毒)则结束其进程,并删除 my.exe 文件,监控 LaTaleClient.exe (网络游戏 彩虹岛的进程 )、 mhmain.dll (网络游戏 梦幻西游的文件 ),如在运行状态则关闭其进程并开始记录键盘操作,从而盗取用户敏感信息。 如用户打开 www.sdo.com ( 盛大网站 ) ,该病毒则记录用户的登陆信息,盗取用户的盛大通告 证的账号与密码。 行为分析1 、病毒运行后衍生病毒文件、删除自身、释放内存: %WINDIR%\\winform.exe %system32%\\winform.dll 2 、将衍生文件 winform.dll 插入到系统进程 explorer.exe 中。 3 、修改注册表,添加启动项,以达到随机启动的目的: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 :"WinForm"="C:\\WINDOWS\\WinForm.exe" 4 、关闭瑞星、金山、诺顿、 Mcafee 等反病毒软件进程: RavMon.exe DefWatch KWatchSvc KPfwSvcKWatchSvc KVSrvXPKPfwSvcKWatchSvc McAfeeFrameworkKVSrvXPKPfwSvcKWatchSvc McShield McTaskManager 5 、使用 SeDebugPrivilege 获取进程句柄的应用程序名,监控 LaTaleClient.exe 、 mhmain.dll ,如在运行状态则关闭其进程并开始记录键盘操作,从而盗取用户敏感信息。 6 、 如用户打开 www.sdo.com( 盛大网站 ) ,该病毒则记录用户的登陆信息,盗取用户的 盛大 通告证的账号与密码。 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装 路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案: 1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1)使用 安天木马防线 “进程管理”关闭病毒进程。 结束系统进程 explorer.exe (2)删除病毒文件: %WINDIR%\\winform.exe %system32%\\winform.dll (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ Windows\\CurrentVersion\\Run 键值 : 字串 :"WinForm"="C:\\WINDOWS\\WinForm.exe" |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。