該病毒是網路遊戲《大話西遊II》的盜號木馬。它運行後會將病毒檔案衍生至系統目錄下,破壞系統防火牆。
基本介紹
- 中文名:Win32.PSWTroj.OnlineGames.tm.65536
- 生成檔案.:%Windir%\system32\dhapri.dll
- 類型:《大話西遊II》的盜號木馬
- 危害:破壞系統防火牆
病府轎祝獄毒行為辨促充:
1.生成檔案.
%Windir%\system32\dhapri.dll
2.生成CLSID組件
HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}
HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}\InprocServer32
Default = "%Windir%\system32\dhapri.dll"
HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}\InprocServer32
ThreadingModel = "Apartment"
3.生成註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{12311A42-AC1B-158F-FD32-5674345F23A1} = "dhapri.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = %Windir%\system32\qhbpri.dll
4.修改以下註冊表使Windows自動更新失槳戶歸效.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions
5.修改註冊表以下地方使已分享檔案失講糠懂臭去防火牆保護
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
6.在系統盤根目錄下生成 DeleteFileDos.bat檔案實現自刪除功能.
7.病毒會利用訊息鉤子盜取笑幾您用戶的賬號和密碼等信息,並以網照棄騙頁提交的方式傳送到乘說木馬種植者手中.
http://w******2008.hanguoz.com/game40/post.asp
