Win32.PSWTroj.OnlineGames.14100是一個網遊盜號木馬,盜取網遊《破天一劍》的帳號密碼,禁用Windows自動更新。通過ShellExecuteHooks隨系統explorer.exe進程啟動,並且連線網路下載病毒,盜取用戶帳號。
基本介紹
- 中文名:Win32.PSWTroj.OnlineGames.14100
- 類型:病毒
- 目的:盜取網遊《破天一劍》的帳號密碼
- 病毒行為:添加到CLSID
病毒行為:
1.木馬運行後,產生以下檔案:
%windows%\Fonts\enpoafx.fon
%system32%\kapjacs.dll
%system32%\kapjbaz.exe
%system32%\kapjbzy.dll
2.添加到CLSID,通過ShellExecuteHooks啟動,禁用windows自動更新:
HKEY_CLASSES_ROOT\CLSID\{2A321487-4977-D98A-C8D5-6488257545A2},
指向%system32%\kapjbzy.dll檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2A321487-4977-D98A-C8D5-6488257545A2},
指向%system32%\kapjbzy.dll檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {2A321487-4977-D98A-C8D5-6488257545A2} "kapjbzy.dll"
隨系統啟動。
禁用自動更新的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU NoAutoUpdate dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU AUOptions dword:00000001
3.HOOK系統的鍵盤滑鼠訊息,監視用戶行為,盜取帳號密碼等:
4.從網路下載病毒,其中網址是加密的,其下載檔案的網址不可用。
