該病毒由其他下載者病毒下載,或者通過網頁傳播等途·徑進行感染,注入進程,掛鈎滑鼠,鍵盤,系統信息等截取征途遊戲·的敏感信息。
基本介紹
- 外文名:Trojan-PSW.Win32.OnLineGames.ejq
- 別名:Trojan-PSW.Win32.OnLineGames.ejq/zt.exe、G-AVR[Greysign]
- 詞語分類:計算機用語
- 病毒類型:木馬
- 危害等級:B
- 檔案長度:15.0 KB (15,366位元組)
- 加殼類型:Upack 0.3.9 beta2s殼
- 檔案 MD5:335edd56075b8d473ffd6f25e8f6c366
- 公開範圍:完全公開
- 危害.等級: B
命名對照,行為分析,
命名對照
江民防毒 TrojanSpy.Delf.aud
瑞星Trojan.PSW.Win32.ZhengTu.yku
金山毒霸 Win32.Troj.OnlineGames.yi.81920
a-squared Trojan-PSW.Win32.OnLineGames.ejq
AntiVir TR/PSW.OnlineGames.ejq
行為分析
修改註冊表:
增加啟動項目
HKEY_LOCAL_MACHINE\SOF.TWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks ""
Type: REG_SZ
Data: rsztcpm.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows "AppInit_DLLs"
Old type: REG_SZ
New type: REG_SZ
Old data:
New data: rsztcpm.dll
關閉系統自動升級
HKEY_LOCAL_MACHINE\SOF.TWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU "AUOptions"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU "NoAutoUpdate"
Type: REG_DWORD
Data: 01, 00, 00, 00
關閉WINDOWS防火牆
HKEY_LOCAL_MACHINE\SYSTEM\.ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile "EnableFirewall"
Type: REG_DWORD
Data: 00, 00, 00, 00
釋放檔案:
c:\WINDOWS\Fonts\gezeand.fon
Date: 10-16-20.07 6:44 PM
Size: 93 bytes
c:\WINDOWS\system32\rsztafg.dll
Date: 10-16-2007 6:44 PM
Size: 53 bytes
c:\WINDOWS\system32\rsztcpm.dll
Date: 8-4-2004 6:44 PM
Size: 23,122 bytes
c:\WINDOWS\system32\rsztcsp.exe
Date: 10-16-2007 6:42 PM
Size: 15,366 bytes
解決方案:
—刪除檔案—
c:\WINDOWS\Fonts.\gezeand.fon
c:\WINDOWS\system32\rsztafg.dll
c:\WINDOWS\system32\rsztcpm.dll
c:\WINDOWS\system32\rsztcsp.exe
—刪除註冊表—
HKEY_LOCAL_MACHINE\SY.STEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "EnableFirewall"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "AUOptions"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{rsztcpm.dll} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
{logonui.exe} [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{}{C:\WINDOWS\system32\rsztcpm.dll} []
