Trojan-PSW.Win32.OnLineGames.ejgy,盜號木馬。捕獲時間為2009年8月10日,主要目的是盜取“完美國際”遊戲的貼密碼信息。
基本介紹
- 中文名:Trojan-PSW.Win32.OnLineGames.ejgy
- 捕獲時間:2009年8月10日
- 主要目的:盜取“完美國際”遊戲的密碼信息
- 危害等級:中
基本資料,防範措施,病毒分析,清除步驟,
基本資料
盜號木馬
Trojan-PSW.Win32.OnLineGames.ejgy
捕獲時間
2009-8-10
危害等級
中
病毒症狀
該樣本是使用“VC”編寫的“完美國際”盜號木馬,由微點主動防禦軟體自動捕獲,長度為“16,384位元組”,圖示為“
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>”,病毒擴展名為“exe”,主要通過“檔案捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為盜取“完美國際”遊戲的帳號密碼信息。
用戶中毒後,會出現登錄遊戲輸入用戶名、密碼時系統運行緩慢,遊戲過程中客戶端無故退出等現象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、檔案捆綁、下載器下載
防範措施
已安裝使用微點主動防禦軟體的用戶,無須任何設定,微點主動防禦將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防禦都能夠有效清除該病毒。如果您沒有將微點主動防禦軟體升級到最新版,微點主動防禦軟體在發現該病毒後將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>
圖1 微點主動防禦軟體自動捕獲未知病毒(未升級)
如果您已經將微點主動防禦軟體升級到最新版本,微點將報警提示您發現"Trojan-PSW.Win32.OnLineGames.ejgy”,請直接選擇刪除(如圖2)。
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>
圖2 微點主動防禦軟體升級後截獲已知病毒
未安裝微點主動防禦軟體的手動解決辦法:
1、手動恢復以下檔案:
拷貝相同版本程式到: %SystemRoot%\system32\verclsid.exe。
2、手動刪除以下檔案:
%SystemRoot%\system32\ss12AA02dll.dll
%SystemRoot%\Fonts\MSar12AA02exe.ttf
3、手動刪除以下註冊表鍵值:
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\
{5A041F13-A111-12B0-B0CF-F99818AA68A5}
鍵:HKEY_CLASSES_ROOT\CLSID\{5A041F13-A111-12B0-B0CF-F99818AA68A5}
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\browserHelperObjects\{5A041F13-A111-12B0-B0CF-F99818AA68A5}
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
值:AppInit_DLLS
數據:null
變數聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時資料夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程式默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)創建互斥體,防止多次運行。
(2)提升自身進程許可權,遍歷進程列表,查找是否有“完美國際”遊戲進程,若找到,終止該進程。
(3)釋放批處理檔案%TEMP%\~AR0.bat,創建執行緒,執行該檔案,該檔案主要作用是用來查找檔案%SystemRoot%\system32\verclsid.exe 是否存在,如果存在,便將其刪除。
(4)釋放檔案%SystemRoot%\system32\ss12AA02dll.dll,設定檔案屬性為隱藏,並載入, 刪除%TEMP%\~AR0.bat。
(5)通過修改註冊表鍵值、安裝鉤子,將病毒注入到遊戲進程,監控遊戲客戶端帳號密碼信息,將其傳送到黑客指定地址。
(6)將病毒自身重命名,複製到%SystemRoot%\Fonts\MSar12AA02exe.ttf,通過修改註冊表,達到自動運行病毒的目的。
(7)創建檔案%TEMP%\~AR0.bat,並執行,刪除病毒自身和~AR0.bat。
病毒創建檔案:
%TEMP%\~AR0.bat
%SystemRoot%\system32\ss12AA02dll.dll
%SystemRoot%\Fonts\MSar12AA02exe.ttf
病毒刪除檔案:
%SystemRoot%\system32\verclsid.exe
%TEMP%\~AR0.bat
病毒創建註冊表:
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\{5A041F13-A111-12B0-B0CF-F99818AA68A5}
鍵:HKEY_CLASSES_ROOT\CLSID\{5A041F13-A111-12B0-B0CF-F99818AA68A5}
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\browserHelperObjects\{5A041F13-A111-12B0-B0CF-F99818AA68A5}
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
值:AppInit_DLLS
數據:ss12AA02dll.dll
清除步驟
Trojan.PSW專殺工具 簡介防毒步驟:
用瑞星專殺工具
1.以Administrator身份登入
3.斷開網路
4.打開瀏覽器,工具-Internet選項-刪除檔案-選中"刪除所有脫機內容"
5.運行-MSCONFIG,查看啟動載入項里可疑啟動項刪除掉
6.重啟機器,按F8進入安全模式
7.使用專殺工具全面防毒
