刀劍盜號者77824,盜號木馬,病毒在 system32 目錄下釋放病毒檔案,並創建註冊表啟動項,以達到病毒開機自啟動。病毒通過創建執行緒不斷修改註冊表,禁用"系統自動更新"和"系統防火牆"兩個功能,會通過記憶體讀寫的方式盜取客戶計算機上網路遊戲《刀劍》的帳號信息。
基本介紹
- 中文名:刀劍盜號者77824
- 種類:電腦病毒
- 病毒類型:偷密碼的木馬病毒
- 影響系統:WinNT Win2000 WinXP
簡介,行為及影響,解決方法,
簡介
病毒名稱(中文) | 刀劍盜號者77824 |
病毒別名 | Win32.Troj.OnlineGames.dz.77824 |
威脅級別 | ★☆☆☆☆ |
病毒類型 | 偷密碼的木馬病毒 |
長度 | 77824 |
影響系統 | WinNT Win2000 WinXP |
行為及影響
病毒行為 | |
病毒運行後把自身拷貝至 | %windir%\system32\sidjaaz.exe |
並釋放病毒檔案 | %windir%\system32\sidjacs.dll %windir%\system32\sidjazy.dll %windir%\Fonts\cadaafx.fon |
病毒添加註冊表啟動項 | Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks Value:"{18847374-8323-FADC-B443-4732ABCD3781}" Data:"sidjazy.dll" |
病毒添加註冊表 | Key:HKEY_CLASSES_ROOT\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32 Value:"@" Data:"%windir%\system32\sidjazy.dll" Key:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32 Value:"@" Data:"%windir%\system32\sidjazy.dll" |
病毒修改註冊表 | Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Value:"AppInit_DLLs" Before Data:"" After Data:"sidjazy.dll" |
解決方法
查找計算機上的 system32 目錄下是否存在 "verclsid.exe" 檔案,有則創建批處理檔案刪除。
創建批處理檔案刪除以下目錄下的所有 cfg 後綴名的檔案:
C:\Program Files\NetMeeting\
D:\Program Files\NetMeeting\
%windir%\system32\
