一、 病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.rwl
病毒类型: 木马
文件大小 :
23612 byte
文件类型 :
MS-DOS executable (EXE)
MD5 :
d66a11ef9dc84a5314d4def49108bc16
SHA1 :
b52c450be970157f9bceb4c012cdba5ce58694d0
公开范围: 完全公开
危害等级: B
开发工具: Microsoft Visual C++ 6.0
加壳类型: Upack 0.24壳
命名对照:
金山毒霸
2007.6.20.249
2008.3.28
2008-03-28
Win32.PSWTroj.OnLineGames.22291
1.823
瑞星
20.0
20.37.32.00
2008-03-27
Trojan.PSW.Win32.GameOL.mjf
2.460
二、 病毒描述:
该病毒为机器狗下载的盗号木马,通过DLL插入EXPLORER来盗取大话西游2的游戏帐号并发送。
三、 行为分析
病毒运行后使用GetWindowsDirectoryA获取系统目录以后,用CopyFileA将自身复制到系统目录下:c:\WINDOWS\NVDispDRV.EXE
并释放DLL:c:\WINDOWS\system32\NVDispDrv.dll
然后打开EXPLORER的进程,将NVDispDrv.dll插入进程进行盗号。
然后修改注册表增加启动项目达到开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "NVDispDrv"
Type: REG_SZ
Data: C:\WINDOWS\NVDispDRV.EXE
解决方案:
删除文件:
C:\WINDOWS\NVDispDRV.EXE
c:\WINDOWS\system32\NVDispDrv.dll
删除注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "NVDispDrv"
Type: REG_SZ
Data: C:\WINDOWS\NVDispDRV.EXE
您的位置: