木马 Win32.Troj.OnLineGamesT.gr.2637分析
一、 病毒标签:
病毒名称: 金山毒霸 Win32.Troj.OnLineGamesT.gr.2637
病毒类型: 木马
文件大小 : 17836 byte
文件类型 : MS-DOS executable (EXE)
MD5 : 409e079e8beed69b937b9b62f3adfea8
SHA1 : 0d0c4b25c89148274ee4433a8943f9b5a8e39a41
公开范围: 完全公开
危害等级: C
加壳类型: WinUpack 0.39 final壳
命名对照:
瑞星 Trojan.PSW.Win32.OnlineGames.GEN
二、 病毒描述:
该病毒为盗号木马类,病毒运行后衍生病毒文件至系统文件夹,并删除自身。通过修改注册表增加启动项目进行开机启动。
三、 行为分析
衍生文件:
c:\WINDOWS\system32\upxdnd.dll
Size: 30,720 bytes
c:\WINDOWS\upxdnd.exe
Size: 17,836 bytes
增加启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "upxdnd"
Type: REG_SZ
Data: C:\WINDOWS\upxdnd.exe
将upxdnd.dll插入到EXPLORER.EXE进程和其它应用程序进程中进行监视盗号。
解决方案:
进入安全模式删除文件:
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\upxdnd.exe
删除注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
upxdnd
您的位置: