Trojan-PSW.Win32.Maran.cj

該病毒運行後,衍生病毒檔案到系統目錄下。修改用戶 LSP項以實現病毒啟動。病毒體注入系統進程中獲取用戶敏感信息發往指定頁面。

基本介紹

  • 中文名:馬瑞恩盜號者
  • 外文名: Trojan-PSW.Win32.Maran.cj
  • 病毒類型:木馬類
  • 公開範圍:: 完全公開
簡介,病毒描述,清除方案,

簡介

病毒名稱: Trojan-PSW.Win32.Maran.cj
中文名稱: 馬瑞恩盜號者
病毒類型: 木馬類
檔案 MD5: 2A08461A388D581B5E24E60828B7DB6C
公開範圍: 完全公開
危害等級: 4
檔案長度: 48,525 位元組
感染系統: Win9X以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: Upack 2.4 - 2.9 beta -> Dwing
命名對照: BitDefender[Generic.Malware.FB.078A76C8]
NORMAN[Security Risk W32/Suspicious_U.gen]

病毒描述

行為分析:
1 、衍生下列副本與檔案:
%WinDir%\ tl32v20.dll
%WinDir%\svchost.exe
%System32%\ tj7viewer.dll
2 、新建註冊表鍵值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
Parameters\Protocol_Catalog9\Catalog_Entries\000000000013\PackedCatalogItem
Value: Type: REG_BINARY Length: 888 (0x378) bytes
%WINDOWS%\System32\tj7viewer.dll.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
Parameters\Protocol_Catalog9\Catalog_Entries\000000000012\PackedCatalogItem
Value: Type: REG_BINARY Length: 888 (0x378) bytes
%SystemRoot%\system32\mswsock.dll.??
3 、修改下列註冊表鍵值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
New: Type: REG_BINARY Length: 888 (0x378) bytes
%WINDOWS\System32\tj7viewer.dll.
Old: Type: REG_BINARY Length: 888 (0x378) bytes
%SystemRoot%\system32\mswsock.dll.
4 、插入病毒體 svchost.exe 到所有系統進程中。
5 、病毒傳送用戶名與密碼信息到某 PHP 頁面中,格式如下:
http://XXX.com/logger.php
6 、病毒內傳送與接收 emai 為用戶自設,不固定。
7 、啟動方式為通過改變 LSP 實現,也可設為 ActiveX 啟動方式。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

清除方案

1 、 使用360安全衛士(安天木馬防線)可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線斷開網路,結束病毒進程:
%WinDir%\svchost.exe
(2) 刪除並恢復病毒添加與修改的註冊表鍵值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\Parameters\Protocol_Catalog9\
Catalog_Entries\000000000013\PackedCatalogItem
Value: Type: REG_BINARY Length: 888 (0x378) bytes
%WINDOWS%\System32\tj7viewer.dll.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\Parameters\Protocol_Catalog9\
Catalog_Entries\000000000012\PackedCatalogItem
Value: Type: REG_BINARY Length: 888 (0x378) bytes
%SystemRoot%\system32\mswsock.dll
恢復下列為舊值 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\Parameters\Protocol_Catalog9\
Catalog_Entries\000000000001\PackedCatalogItem
New: Type: REG_BINARY Length: 888 (0x378) bytes
%WINDOWS\System32\tj7viewer.dll.
Old: Type: REG_BINARY Length: 888 (0x378) bytes
%SystemRoot%\system32\mswsock.dll.
(3) 刪除病毒釋放檔案:
%WinDir%\ tl32v20.dll
%WinDir%\svchost.exe
%System32%\ tj7viewer.dll

相關詞條

熱門詞條

聯絡我們