Trojan-Clicker.Win32.Flyst.d

Trojan-Clicker.Win32.Flyst.d,計算機病毒。

基本介紹

  • 外文名:Trojan-Clicker.Win32.Flyst.d
  • 病毒類型:木馬類
  • 公開範圍:完全公開
  • 危害等級:3
木馬簡介,基本信息,具體描述,行為分析,本地行為,網路行為,

木馬簡介

基本信息

病毒名稱: Trojan-Clicker.Win32.Flyst.d
病毒類型: 木馬類
檔案 MD5: D9B35CE327B68D7E6B1FA987E03D3CB6
公開範圍: 完全公開
危害等級: 3
檔案長度: 974,045 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: 未知殼

具體描述

近來,病毒在以“木馬群”的新形式發展以外,還朝著另一個方向發展,那就是病毒不再專一的去盜取某一遊戲或即時通迅的賬號與密碼,而是先進行廣泛的收集,再進行關鍵字篩選來進行病毒操作。例如本木馬就是以gajkonline.exe 進行鍵盤記錄的形式來記錄信息,然後匹配關鍵字進行回傳信息的。廣告件與木馬等類型不再分的那么明顯,越來越趨於交叉化發展,例如本木馬的另一主要目的就是彈出廣告信息,達到宣傳的目的。

行為分析

本地行為

1、 檔案運行後會釋放以下檔案
%Temp%\E_4\eAPI.fne
%Temp%\E_4\HtmlView.fne
%Temp%\E_4\internet.fne
%Temp%\E_4\krnln.fnr
%Temp%\E_4\RegEx.fne
%Temp%\E_4\shell.fne
%Program Files%\Common Files\gajkonline.exe
%Program Files%\Common Files\onlinegame\gajkonline.exe
2、 新建註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
註冊表值:"run"
類型: REG_SZ
值: " C:\PROGRA~1\COMMON~1\onlinegame\gajkonline.exe"
描述:添加啟動項,以達到隨機啟動的目的
3、以進程 gajkonline.exe 進行鍵盤記錄

網路行為

2、連線大量網址,以達到下載檔案到本機,從而顯示廣告的目的,連線網址如下:
http://www.txwork.cn/a.html
http://www.77txt.com/soft/1027.htm
http://www.hehe1234.cn/index.htm
http://www.txwork.cn/html/1981.html
http://www.txwork.cn/html/3600.html
http://www.77txt.com/txt_106056/
http://www.77txt.com/txt_106959/
http://www.moyinge.com
http://www.xunlei591.com/
http://windown.com.cn/pinpai.php?id=219
http://windown.com.cn/pinpai.php?id=510
http://windown.com.cn/pinpai.php?id=708
http://www.3199520.cn
http://www.139767.cn
http://www.jinluandian.com
http://www.a8bt.com
http://www.gulanjing.cn
http://www.91580.cn
http://www.txwork.cn
http://webxunlei.com.cn/pinpai.php?id=479
http://webxunlei.com.cn/pinpai.php?id=350
http://webxunlei.com.cn/pinpai.php?id=322
http://ibaojian.com.cn/pinpai.php?id=149
http://ibaojian.com.cn/pinpai.php?id=207
http://ibaojian.com.cn/pinpai.php?id=1227
http://bailingliren.com.cn/pinpai.php?id=578
http://bailingliren.com.cn/pinpai.php?id=782
http://bailingliren.com.cn/pinpai.php?id=593
http://youxizixun.com.cn/pinpai.php?id=480
http://youxizixun.com.cn/pinpai.php?id=307
http://youxizixun.com.cn/pinpai.php?id=1170
http://cy777.com.cn/pinpai.php?id=355
http://cy777.com.cn/pinpai.php?id=89
http://cy777.com.cn/pinpai.php?id=403
2、主動彈出下列地址的網站:
http://www.efaxcn.com/Info.php?wlb=WLB1
http://pop1.9v.cn/code/showpop.asp?from=27153&typeid=35&plugin=0&adsidRnd=3&furl=http://www.txwork.cn/html/6188.html&PN=c6768b5c08eea51bf71e7523c1d0255d
注釋:
%Windir% WINDODWS所在目錄
%DriveLetter%邏輯驅動器根目錄
%ProgramFiles%系統程式默認安裝目錄
%HomeDrive%當前啟動系統所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% 當前用戶TEMP快取變數;路徑為:
%Documents and Settings%\當前用戶\Local Settings\Temp
%System32% 是一個可變路徑;
病毒通過查詢作業系統來決定當前System32資料夾的位置;
Windows2000/NT中默認的安裝路徑是 C:\Winnt\System32;
Windows95/98/Me中默認的安裝路徑是 C:\Windows\System;
WindowsXP中默認的安裝路徑是 C:\Windows\System32。
四、 清除方案:
1、使用安天木馬防線可徹底清除此病毒。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。推薦使用ATool(安天安全管理工具)。
(1) 使用安天木馬防線或ATool中的“進程管理”關閉病毒進程gajkonline.exe
(2) 強行刪除病毒檔案
%Temp%\E_4\eAPI.fne
%Temp%\E_4\HtmlView.fne
%Temp%\E_4\internet.fne
%Temp%\E_4\krnln.fnr
%Temp%\E_4\RegEx.fne
%Temp%\E_4\shell.fne
%Program Files%\Common Files\gajkonline.exe
%Program Files%\Common Files\onlinegame\gajkonline.exe
(3)刪除病毒添加的註冊表項
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
註冊表值:"run"
類型: REG_SZ
值: " C:\PROGRA~1\COMMON~1\onlinegame\gajkonline.exe"

熱門詞條

聯絡我們