Trojan-PSW.Win32.OnLineGames.ejq
Trojan-PSW.Win32.OnLineGames.ejq分析
Trojan-PSW.Win32.OnLineGames.ejq/zt.exe分析
G-AVR[Greysign]
一、 病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.ejq
病毒类型: 木马
文件 MD5:335edd56075b8d473ffd6f25e8f6c366
公开范围: 完全公开
危害.等级: B
文件长度: 15.0 KB (15,366 字节)
加壳类型: Upack 0.3.9 beta2s壳
命名对照:
江民杀毒 TrojanSpy.Delf.aud
瑞星 Trojan.PSW.Win32.ZhengTu.yku
金山毒霸 Win32.Troj.OnlineGames.yi.81920
a-squared Trojan-PSW.Win32.OnLineGames.ejq
AntiVir TR/PSW.OnlineGames.ejq
二、 病毒描述:
该病毒由其他下载者病毒下载,或者通过网页传播等途.径进行感染,注入进程,挂钩鼠标,键盘,系统信息等截取征途游戏.的敏感信息。
三、 行为分析
修改注册表:
增加启动项目
HKEY_LOCAL_MACHINE\\SOF.TWARE\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\ShellExecuteHooks ""
Type: REG_SZ
Data: rsztcpm.dll
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\
CurrentVersion\\Windows "AppInit_DLLs"
Old type: REG_SZ
New type: REG_SZ
Old data:
New data: rsztcpm.dll
关闭系统自动升级
HKEY_LOCAL_MACHINE\\SOF.TWARE\\Policies\\Microsoft\\Windows\\
WindowsUpdate\\AU "AUOptions"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\
WindowsUpdate\\AU "NoAutoUpdate"
Type: REG_DWORD
Data: 01, 00, 00, 00
关闭WINDOWS防火墙
HKEY_LOCAL_MACHINE\\SYSTEM\\.ControlSet001\\Services\\SharedAccess\\
Parameters\\FirewallPolicy\\StandardProfile "EnableFirewall"
Type: REG_DWORD
Data: 00, 00, 00, 00
释放文件:
c:\\WINDOWS\\Fonts\\gezeand.fon
Date: 10-16-20.07 6:44 PM
Size: 93 bytes
c:\\WINDOWS\\system32\\rsztafg.dll
Date: 10-16-2007 6:44 PM
Size: 53 bytes
c:\\WINDOWS\\system32\\rsztcpm.dll
Date: 8-4-2004 6:44 PM
Size: 23,122 bytes
c:\\WINDOWS\\system32\\rsztcsp.exe
Date: 10-16-2007 6:42 PM
Size: 15,366 bytes
解决方案:
—删除文件—
c:\\WINDOWS\\Fonts.\\gezeand.fon
c:\\WINDOWS\\system32\\rsztafg.dll
c:\\WINDOWS\\system32\\rsztcpm.dll
c:\\WINDOWS\\system32\\rsztcsp.exe
—删除注册表—
HKEY_LOCAL_MACHINE\\SY.STEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile "EnableFirewall"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU "AUOptions"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU "NoAutoUpdate"
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]
{rsztcpm.dll} []
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
{logonui.exe} [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\
ShellExecuteHooks]
{}{C:\\WINDOWS\\system32\\rsztcpm.dll} []
【原文地址:http://secure.itdigger.com/2007/10/16/202415765.htm】