一、 病毒标签:病毒名称: Trojan-PSW.Win32.OnLineGames.amqs
病毒类型: 木马
|
文件大小 :
|
15044 byte
|
|
文件类型 :
|
MS-DOS executable (EXE)
|
|
MD5 :
|
b41ee7059aa46576c64b039ca6040fa0
|
|
SHA1 :
|
e322b14c0e612f71b96a6b2cbdcbb74d3e6098ee
|
公开范围: 完全公开危害等级: C
命名对照:
|
江民杀毒
|
11.0.706
|
2008.06.17
|
2008-06-17
|
Trojan/PSW.OnLineGames.urs
|
2.316
|
|
熊猫卫士
|
9.04.03.0001
|
2008.06.18
|
2008-06-18
|
GenericMalware
|
1.837
|
|
瑞星
|
20.0
|
20.49.42.00
|
2008-06-20
|
Trojan.PSW.Win32.GameOL.odt
|
1.807
|
二、 病毒描述:
该病毒为盗号木马。运行后将释放病毒文件至系统目录并随系统启动而运行,记录用户的密码通过网络发送。
三、 行为分析
增加启动项目:
HKEY_CLASSES_ROOT\CLSID\{5A069845-2036-6084-9054-6087502480A5}\InprocServer32 "(Default)"
Type: REG_SZ
Data: C:\WINDOWS\system32\ozfyebyt.dll
HKEY_CLASSES_ROOT\CLSID\{5A069845-2036-6084-9054-6087502480A5}\InprocServer32 "ThreadingModel"
Type: REG_SZ
Data: Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5} "(Default)"
Type: REG_SZ
Data: ozfyebyt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "{5A069845-2036-6084-9054-6087502480A5}"
Type: REG_SZ
Data: ozfyebyt.dll
释放文件:
c:\WINDOWS\system32\ozfyebyt.dll
Date: 8-8-2004 10:26 PM
Size: 534,024 bytes
c:\WINDOWS\system32\snfybbyt.sys
Date: 8-8-2004 10:26 PM
Size: 520 bytes
c:\WINDOWS\system32\tjfyabyt.exe
Date: 8-8-2004 10:26 PM
Size: 15,044 bytes
解决方案:
删除文件:
c:\WINDOWS\system32\ozfyebyt.dll
c:\WINDOWS\system32\snfybbyt.sys
c:\WINDOWS\system32\tjfyabyt.exe
删除注册表:
HKEY_CLASSES_ROOT\CLSID\{5A069845-2036-6084-9054-6087502480A5}\InprocServer32 "(Default)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5} "(Default)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "{5A069845-2036-6084-9054-6087502480A5}"
您的位置: