Trojan-PSW.Win32.OnLineGames.ejq

Trojan-PSW.Win32.OnLineGames.ejq分析

Trojan-PSW.Win32.OnLineGames.ejq/zt.exe分析

G-AVR[Greysign]

一、 病毒标签：

病毒名称： Trojan-PSW.Win32.OnLineGames.ejq

病毒类型： 木马

文件 MD5：335edd56075b8d473ffd6f25e8f6c366

公开范围： 完全公开

危害.等级： B

文件长度： 15.0 KB (15,366 字节)

加壳类型： Upack 0.3.9 beta2s壳

命名对照：

江民杀毒 TrojanSpy.Delf.aud

瑞星 Trojan.PSW.Win32.ZhengTu.yku

金山毒霸 Win32.Troj.OnlineGames.yi.81920

a-squared Trojan-PSW.Win32.OnLineGames.ejq

AntiVir TR/PSW.OnlineGames.ejq

二、 病毒描述：

该病毒由其他下载者病毒下载，或者通过网页传播等途.径进行感染，注入进程，挂钩鼠标，键盘，系统信息等截取征途游戏.的敏感信息。

三、 行为分析

修改注册表：

增加启动项目

HKEY_LOCAL_MACHINE\\SOF.TWARE\\Microsoft\\Windows\\CurrentVersion\\

Explorer\\ShellExecuteHooks ""

Type: REG_SZ

Data: rsztcpm.dll

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\

CurrentVersion\\Windows "AppInit_DLLs"

Old type: REG_SZ

New type: REG_SZ

Old data:

New data: rsztcpm.dll

关闭系统自动升级

HKEY_LOCAL_MACHINE\\SOF.TWARE\\Policies\\Microsoft\\Windows\\

WindowsUpdate\\AU "AUOptions"

Type: REG_DWORD

Data: 01, 00, 00, 00

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\

WindowsUpdate\\AU "NoAutoUpdate"

Type: REG_DWORD

Data: 01, 00, 00, 00

关闭WINDOWS防火墙

HKEY_LOCAL_MACHINE\\SYSTEM\\.ControlSet001\\Services\\SharedAccess\\

Parameters\\FirewallPolicy\\StandardProfile "EnableFirewall"

Type: REG_DWORD

Data: 00, 00, 00, 00

释放文件：

c:\\WINDOWS\\Fonts\\gezeand.fon

Date: 10-16-20.07 6:44 PM

Size: 93 bytes

c:\\WINDOWS\\system32\\rsztafg.dll

Date: 10-16-2007 6:44 PM

Size: 53 bytes

c:\\WINDOWS\\system32\\rsztcpm.dll

Date: 8-4-2004 6:44 PM

Size: 23,122 bytes

c:\\WINDOWS\\system32\\rsztcsp.exe

Date: 10-16-2007 6:42 PM

Size: 15,366 bytes

解决方案：

—删除文件—

c:\\WINDOWS\\Fonts.\\gezeand.fon

c:\\WINDOWS\\system32\\rsztafg.dll

c:\\WINDOWS\\system32\\rsztcpm.dll

c:\\WINDOWS\\system32\\rsztcsp.exe

—删除注册表—

HKEY_LOCAL_MACHINE\\SY.STEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile "EnableFirewall"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU "AUOptions"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU "NoAutoUpdate"

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

{rsztcpm.dll} []

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]

{logonui.exe} [(Verified)Microsoft Windows Publisher]

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

ShellExecuteHooks]

{}{C:\\WINDOWS\\system32\\rsztcpm.dll} []

【原文地址：http://secure.itdigger.com/2007/10/16/202415765.htm】