知识库编号： RSV0707702

内容分类： 木马病毒

适用产品分类：瑞星杀毒软件.单机版.标准版.2007

瑞星杀毒软件.单机版.升级版.2007

瑞星杀毒软件.单机版.下载版.2007

关键词： Trojan.PSW.OnlineGames

本文介绍Trojan.PSW.OnlineGames病毒资料及清除方法。

【病毒分析】：

病毒使用Delphi编写，并且使用UPX加壳，病毒运行后有以下行为：

1、将自己复制到%WINDIR%目录下，文件名为"exxplorer.exe"。

2、修改以下注册表键值以达到其自启动的目的：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run

增加数据项："exxplorer"??? 数据值为："%WINDIR%\\EXXPLORER.EXE"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices

增加数据项："exxplorer"??? 数据值为："%WINDIR%\\EXXPLORER.EXE"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

修改数据项："Shell"??????? 修改后的数据值为："Explorer.exe %WINDIR%\\EXXPLORER.EXE"

3、修改系统文件"SYSTEM.INI"以下数据项，以达到其自启动的目的。

4、搜索当前系统是否有名为"exxplorer"的窗体，如果有，病毒则退出。病毒通过这种方式来确保系统中只有一个病毒文件在运行。

5、结束某些反病毒软件的进程。

6、记录本地计算机的系统信息以及游戏"传奇世界"的帐号、密码、服务器地址、所属区域等信息，并写入注册表"HKEY_CLASSES_ROOT\\woool"键下。

7、将窃取的信息发送到指定的邮箱内。

【清除方法】：

使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。