木马:Trojan-Downloader.Win32.Agent.jkb
文件名称:SysWFGwd2.dll文件大小:22711 byteAV命名:Trojan-Downloader.Win32.Agent.jkb 卡巴斯基
Trojan.DownLoader.origin Dr.WEB
Trojan.PSW.Win32.GameOL.mbm 瑞星加壳方式:Upack
编写语言:Delphi
文件MD5:0fc2f3525537c2bc7a2c88fbc25706ec
病毒类型:木马
行为:
1、释放病毒文件:
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGwd2.dll, 29733 字节
2、未见添加启动项。
3、连接网络222.172.81.30,获得下载列表:hxxp://qq.90356.com.cn/22/dl.txt
下载:
http://qq.90356.com.cn/22/hxxxz.exe
http://74.5460w.cn/yx/11.exe
http://74.5460w.cn/yx/12.exe
http://74.5460w.cn/yx/13.exe
http://74.5460w.cn/yx/14.exe
http://74.5460w.cn/yx/15.exe
http://74.5460w.cn/yx/16.exe
http://74.5460w.cn/yx/17.exe
http://74.5460w.cn/yx/18.exe
http://74.5460w.cn/yx/19.exe
http://74.5460w.cn/yx/20.exe
http://74.5460w.cn/yx/21.exe
http://74.5460w.cn/yx/22.exe
测试时未实现
5、注入Explorer,查找一些网游登入窗口和进程并注入。以读取内存方式记录密码帐号。
6、硬编码方式查找卡吧:
:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
和____AVP.Root和AVP.Tray的窗口。
如果找到了就修改系统时间。
7、添加注册表:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
延迟删除VerCLSID.exe和VerCLSID.bak
8、释放P处理xr.bat删除原载体。
解决方法:
1、下载Unlocker并安装
2、转到C:\Program Files\Common Files\Microsoft Shared\MSInfo
右键解锁SysWFGwd2.dll
3、删除SysWFGwd2.dl。
4、修改QQ、网游等密码。
您的位置: