一、 病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.alzp
病毒类型: 木马
|
文件大小 :
|
17476 byte
|
|
文件类型 :
|
MS-DOS executable (EXE)
|
|
MD5 :
|
780372fd04b2ba85cdc82a82affedef0
|
|
SHA1 :
|
c242a593ae1a43cf958464408cb8ee9958e11305
|
公开范围: 完全公开
危害等级: C
命名对照:
|
瑞星
|
20.0
|
20.49.42.00
|
2008-06-20
|
Trojan.PSW.Win32.GameOL.odt
|
1.759
|
|
赛门铁克
|
1.3.0.24
|
20080619.003
|
2008-06-19
|
Infostealer.Gampass
|
0.263
|
二、 病毒描述:
该病毒为盗号木马。运行后将释放病毒文件至系统目录并随系统启动而运行,记录用户的密码通过网络发送。
三、 行为分析
增加启动项目:
HKEY_CLASSES_ROOT\CLSID\{7C8D1401-A58D-A81C-CD24-A5915C4517C7}\InprocServer32 "(Default)"
Type: REG_SZ
Data: C:\WINDOWS\system32\mnmhgsrv.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C8D1401-A58D-A81C-CD24-A5915C4517C7} "(Default)"
Type: REG_SZ
Data: mnmhgsrv.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "{7C8D1401-A58D-A81C-CD24-A5915C4517C7}"
Type: REG_SZ
Data: mnmhgsrv.dll
释放病毒文件:
c:\WINDOWS\system32\ismhasrv.exe
Date: 8-8-2004 10:11 PM
Size: 17,476 bytes
c:\WINDOWS\system32\mnmhgsrv.dll
Date: 8-8-2004 10:11 PM
Size: 538,120 bytes
c:\WINDOWS\system32\smmhbsrv.sys
Date: 8-8-2004 10:11 PM
Size: 520 bytes
解决方案:
删除文件:
c:\WINDOWS\system32\ismhasrv.exe
c:\WINDOWS\system32\mnmhgsrv.dll
c:\WINDOWS\system32\smmhbsrv.sys
删除注册表:
HKEY_CLASSES_ROOT\CLSID\{7C8D1401-A58D-A81C-CD24-A5915C4517C7}\InprocServer32 "(Default)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C8D1401-A58D-A81C-CD24-A5915C4517C7} "(Default)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "{7C8D1401-A58D-A81C-CD24-A5915C4517C7}"
您的位置: