我爱电脑技术论坛 » 网络安全区 » 警惕盗号木马Trojan-PSW.Win32.OnLineGames.aocg

超越平凡 发表于 2008-6-17 23:11

警惕盗号木马Trojan-PSW.Win32.OnLineGames.aocg

警惕盗号木马Trojan-PSW.Win32.OnLineGames.aocg
Q$w{%_b7Y)v ~(nhU/F.xi`
Trojan-PSW.Win32.OnLineGames.aocg下载者木马类，病毒运行后调用API获取系统文件夹路径，在%System32%目录下创建病毒文件ajfcaa.exe（6位随机病毒名），并加载创建该病毒进程，遍历进程查找是否存在一下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程，调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，创建dat文件到临时目录，创建注册表病毒服务，等待加载完毕后将dat文件删除，添加注册表映像劫持，劫持多款安全软件，使系统安全性降低，利用ZwQuerySystemInformation()枚举内核模块，遍历进程查找：DrvAnti.exe（驱动防火墙）、csrss.exe（系统进程），如找到则强行结以上2个进程，病毒运行后自我删除，连接网络读取列表下载大量恶意文件到本地运行，经分析下载的文件多为盗号木马，给用户清理带来及大的不便！
[(j,v#?.D)h%Sy
t7QicQ&k2N 清除方案： in!f{ T }u'r-o
1.    使用安天防线2008可彻底清除此病毒(推荐)。 'H9\w p@j5}#t'^
(F([hY5yRE}w+rQ
2.    手工清除请按照行为分析删除对应文件，恢复相关系统设置。 2GvwW_'r(j
（1）    使用ATOOL“进程管理”关闭病毒相关进程
*Ft)d-neF$WkA （2）    强行删除病毒文件 (^H5t?a q
_ I
1.    %System32%\ajfcaa.exe  （随机6位小写字母病毒名）
&UJ)GGY*fwd （3）    删除病毒服务注册表及映像劫持项
-?;KM^ T-n8SU:oEl 2.    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
TObM@+U6h.?#G$G LEGACY_MHFP\0000\Service]
.Z$Y`rB GJ 键值："gdabr" 6g!n9K(x3B{4j b#O
删除gdabr键值
G6t"i,~[r 3.    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
o2wJ1Cyio 键值："gdabr"
']n6I.LF 删除gdabr键值
"N"i{%mfw/z n 4.    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft (F4id:A"vs6hnk.{
\Windows NT\CurrentVersion]
4BYq*v6O#c/h 键值："Image File Execution Options"
5j hRP.C [ 删除注册表Image File Execution Options键值

查看完整版本: 警惕盗号木马Trojan-PSW.Win32.OnLineGames.aocg