Trojan.PSW.Win32.Mapdimp.a

Trojan.PSW.Win32.Mapdimp.a是電腦病毒,病毒採用Delphi編寫,upack0.39加殼。

基本介紹

  • 中文名:Trojan.PSW.Win32.Mapdimp.a
  • 編寫程式:Delphi
  • 特點:修改註冊表信息
  • 手動處理方法:刪除病毒檔案
病毒分析,手動方法,

病毒分析

病毒運行後有以下行為:
1.病毒釋放midimap??.dll和midimap??.dat的檔案到系統目錄(??代表兩個隨機字母)。
我們可以首先利用Windows的搜尋功能在系統目錄下搜尋名為midimap??.dll的檔案(注意:midimap.dll不是病毒,後面必須有兩個隨機字母且midimap??.dll和midimap??.dat是成對出現的才是病毒) 圖1
(圖1)
2.病毒還會修改註冊表信息達到開機被自動載入的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll檔案
開始-運行-輸入regedit 打開註冊表編輯器展開:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
然後在下面查找有無{4F4F0064-71E0-4f0d-0018-708476C7815F}的子鍵
如果有展開該子鍵,此時我們會看到該子鍵指向了病毒檔案%systemroot%\system32\midimap??.dll 圖2
(圖2)
如果這時看到的midimap??.dll檔案名稱和剛才搜尋到的檔案相同,則證明中毒了。圖3
(圖3)
3.另外,熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的執行緒裡面是否有midimap??.dll 圖4
(圖4)
4.病毒運行後會訪問黑客指定的網址下載其他木馬病毒,盜取網遊賬號,並將盜取的信息在後台傳送給黑客,使網遊玩家的利益受損。

手動方法

第一步,刪除病毒檔案:
使用wsyscheck工具,檔案管理,進入系統目錄(默認為c:\windows\system32)找到midimap??.dll和midimap??.dat檔案,在檔案上麵點擊右鍵,選擇“傳送到重啟刪除列表中”。
第二步,刪除被病毒修改的註冊表鍵值
1、使用wsyscheck工具或使用註冊表編輯器,刪除以下鍵值內容:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F}的值“c:\windows\system32\midimap??.dll”
2、重啟計算機。

相關詞條

熱門詞條

聯絡我們