一、 病毒标签:
病毒名称: Trojan.PWS.OnLineGames.SSL
病毒类型: 木马
文件大小 :
17002 byte
文件类型 :
MS-DOS executable (EXE)
MD5 :
fe890e61cabf0b5ab91a8abbdf84994b
SHA1 :
53ed61dc5b62a35cff98bbdac6970f95aa6cc15a
公开范围: 完全公开
危害等级: C
开发工具: Borland Delphi
加壳类型: Upack V0.36-V0.37 (DLL) -> Dwing壳
命名对照:
Dr.WEB
4.44.0.9170
2008.04.10
2008-04-10
Trojan.PWS.Gamania.origin
12.363
金山毒霸
2007.6.20.249
2008.4.11
2008-04-11
Win32.PSWTroj.OnLineGames.94314
2.759
二、 病毒描述:
该病毒通过注入进程,挂钩技术拦截键盘鼠标事件来获取网络游戏问道的敏感信息发送至黑客。
三、 行为分析:
运行以后释放DLL至%TEMP%:
c:\Documents and Settings\Administrator\Local Settings\Temp\svcposdw.dll
Date: 4-10-2008 8:11 PM
Size: 15,072 bytes
增加启动项目:
HKEY_CLASSES_ROOT\CLSID\{00A5F960-93EA-44A2-98C2-C069B7D0CA67}\InProcServer32 "(Default)"
Type: REG_SZ
Data: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svcposdw.dll
HKEY_CLASSES_ROOT\CLSID\{00A5F960-93EA-44A2-98C2-C069B7D0CA67}\InProcServer32 "ThreadingModel"
Type: REG_SZ
Data: Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks "{00A5F960-93EA-44A2-98C2-C069B7D0CA67}"
Type: REG_SZ
Data: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svcposdw.dll
解决方案:
删除文件:
%TEMP%\svcposdw.dll
删除启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks "{00A5F960-93EA-44A2-98C2-C069B7D0CA67}"
HKEY_CLASSES_ROOT\CLSID\{00A5F960-93EA-44A2-98C2-C069B7D0CA67}
www.newjian.com
您的位置: