beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點新聞  |  業(yè)界動態(tài)  |  安全資訊  |  安全快報  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁
通行證  |  客服中心  |  微點社區(qū)  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

盜號木馬Trojan-PSW.Win32.OnLineGames.ekwk
來源:  2009-11-30 09:45:07

盜號木馬

Trojan-PSW.Win32.OnLineGames.ekwk

捕獲時間

2009-11-30

危害等級



病毒癥狀

 該樣本是使用“C ”編寫的“游戲盜號木馬”,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為27,648字節(jié),圖標(biāo)為“
” 使用“ exe”擴(kuò)展名,通過網(wǎng)頁木馬、下載器下載的方式進(jìn)行傳播,病毒主要盜取游戲“帳號”和“密碼”。
   用戶中毒后,會出現(xiàn)游戲進(jìn)程無故退出、系統(tǒng)以及網(wǎng)絡(luò)運行緩慢等癥狀。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista

傳播途徑

網(wǎng)頁掛馬、文件捆綁、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜軟件”,請直接選擇刪除處理(如圖1);


圖1 微點主動防御軟件自動捕獲未知病毒(未升級)




如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)"Trojan-PSW.Win32.OnLineGames.ekwk”,請直接選擇刪除(如圖2)。


圖2   微點主動防御軟件升級后截獲已知病毒




未安裝微點主動防御軟件的手動解決辦法:

1、手動刪除以下文件:

%SystemRoot%\Downloaded Program Files\ku4ruEZ6xYJAZ.Ttf
%SystemRoot%\system32\\JMq7bpeR4Xa8eV5ftCB.inf

2、手動刪除以下注冊表鍵:

HKEY_CLASSES_ROOT\CLSID\{7198f428-77ac-4837-afbe-1e0393575935}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7198f428-77ac-4837-afbe-1e0393575935}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
名稱:{7198f428-77ac-4837-afbe-1e0393575935}

變量聲明:

  %SystemDriver%       系統(tǒng)所在分區(qū),通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”

病毒分析

1.病毒運行后在%temp%下釋放文件ope5.exe,然后執(zhí)行此文。
2.退出當(dāng)前進(jìn)程,調(diào)用命令行自我刪除。
3.在ope5.exe中,創(chuàng)建線程,讀取病毒創(chuàng)建的配置文件,如果讀取的內(nèi)容和病毒中數(shù)據(jù)相同,就檢查并修復(fù)病毒創(chuàng)建的注冊表項。
4.如果數(shù)據(jù)不同,就刪除舊的病毒文件,釋放新病毒文件,并設(shè)置為系統(tǒng)、隱藏屬性。
5.加載動態(tài)庫,在動態(tài)庫中,創(chuàng)建名稱為"MTX:ku4ruEZ6xYJAZ"的互斥量,設(shè)置自己為"SeDebugPrivilege"權(quán)限,創(chuàng)建兩個線程,在線程一中,每隔30s就遍歷進(jìn)程查找魔獸世界游戲進(jìn)程;在線程二中,設(shè)置消息鉤子,創(chuàng)建注冊表項。獲取游戲密碼等信息,連接網(wǎng)絡(luò),發(fā)送到指定地址。
6.創(chuàng)建注冊表項,達(dá)到隨系統(tǒng)啟動目的。
7.刪除%SystemRoot%\system32\verclsid.exe。
8.退出進(jìn)程,自我刪除。

病毒創(chuàng)建文件:

%SystemRoot%\Downloaded Program Files\ku4ruEZ6xYJAZ.Ttf
%SystemRoot%\system32\\JMq7bpeR4Xa8eV5ftCB.inf
%temp%\ope5.exe

病毒刪除文件:

%SystemRoot%\system32\verclsid.exe

病毒創(chuàng)建注冊表:

HKEY_CLASSES_ROOT\CLSID\{7198f428-77ac-4837-afbe-1e0393575935}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7198f428-77ac-4837-afbe-1e0393575935}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
名稱:{7198f428-77ac-4837-afbe-1e0393575935}
免費體驗
下  載
安裝演示