当前位置:在线查询网 > 在线百科全书查询 > 特洛伊病毒Win32.RewzaqFamily

特洛伊病毒Win32.RewzaqFamily_在线百科全书查询


请输入要查询的词条内容:

特洛伊病毒Win32.RewzaqFamily

Win32/Rewzaq是特洛伊病毒,能够盗窃与"Eudemons Online"网络游戏相关的敏感信息,还会下载并运行任意文件。

其它名称

W32/Agent.BNZ (F-Secure), Troj/Bckdr-PUS (Sophos), Trojan, Infostealer.JiangHu (Symantec), Win32/Rewzaq.F, Backdoor.Win32.Agent.ajq (Kaspersky)

病毒属性

特洛伊木马

危害性

中等危害

具体介绍

感染方式

运行时,Win32/Rewzaq生成以下文件到%System%

目录

winlogin.exe userspi.dll Security.exe

''%System%''是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 "Security.exe"文件作为一个服务安装: Service Name: ServerAC Display Name: Server Advance Service Description: Appears in Chinese text and translates to "Provide local users advanced protection mechanism" Path to Executable: %System%\\Security.exe Startup Type: Automatic "winlogin.exe"文件注入一个很小的代码到"explorer.exe"程序,用来设置一个"THREVENT",为了与其它的生成程序相通。如果这个文件被删除,特洛伊会再次生成它。

危害

盗窃敏感信息 特洛伊盗窃敏感信息,例如与中国的网络游戏"Eudemons Online"的注册信息和游戏人物信息。它查找名为"soul.exe"的进程,列举与这个游戏相关的特定的中文窗口。

特洛伊可能盗窃以下信息: 游戏帐户的用户名和密码; 游戏人物的职业; 人物拥有的金钱数量; 人物的级别。 随后将这些信息发送到特定域的一个网站,可能是以下中的一个: 下载并运行任意文件 Win32/Rewzaq能够从一个特定的域下载并运行一个文件。从m域下载并运行一个文件%Temp%\\temp.exe。 注:''%Temp%''是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下位置:"C:\\Documents and Settings\\<username>\\Local Settings\\Temp",或 "C:\\WINDOWS\\TEMP"。

清除

KILL安全胄甲最新版本可检测/清除此病毒。

1、 由于这个种木马带有生成伪装系统文件,所以给手动删除造成迷惑,故需要十分小心判认。

2、 此木马会通过系统保护项重复生成感染。

3、 此木马也可能会在C:\\Documents and Settings\\系统用户名\\Local Settings\\Temp\\生成1.exe、2.exe等可执行文件进行破坏exe关联。

4、 中毒后,病毒修改了系统执行关联,控制不能执行.exe的命令,重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件Program Files\\Internet Explorer\\,故上网时不能直接使用IE执行,有存在也要先删除。

解决步骤

1、 开机启动时按F8,选择带网络的安全模式进入,打开我的电脑,从工具->文件夹选项,在查看中,勾选[显示系统文件夹的内容],去掉勾选 [隐藏受保护的操作系统文件]的勾。选择[显示所有文件],去掉隐藏已知的后缀名。 然后到以上描棕的文件夹里,把相应的病毒文件删除。 如果不能正确判断文件是否系统文件还是伪系统文件,可以下载最新的木马分析专家扫描分析,会列出这些文件名,然后用他的病毒文件定位,把它们一一删除。

2、 在资源管理器的地址栏上直接输入: C:\\Documents and Settings\\系统用户名\\Local Settings\\Temporary Internet Files\\ C:\\Documents and Settings\\系统用户名\\Local Settings\\Temporary Internet Files\\ C:\\Documents and Settings\\系统用户名\\Local Settings\\Temp\\ 这三个临时文件夹中的文件全部直接删除。

3、 连接上网络,在资源管理器的地址栏上直接输入: 然后在IE修复的高级修复中,通过扫描出来后,把所有未知的勾上,然后点立即修复,完成后,到IE修复的保护IE,启动保护中,把保护系统启动项勾选,把启动项保护起来。

4、 在雅虎助手的IE修复的编辑Hosts表,发现有IP,后面的网址的话,把前面的IP改为127.0.0.1 ,然后点击立即保存,重新启动计算机。

5、 重启系统后,用杀病毒软件(保持最新的病毒特征库)进行完全查杀病毒。

相关分词: 特洛伊 特洛 洛伊 病毒 Win 32 RewzaqFamily