h24arj123 2008-7-11 09:59
警惕木马病毒Trojan-PSW.Win32.OnLineGames.sbyr
[align=center][align=center][b][font=宋体][size=15pt]警惕木马病毒[/size][/font][/b][b][size=15pt]Trojan-PSW.Win32.OnLineGames.sbyr[/size][/b][/align][/align]Trojan-PSW.Win32.OnLineGames.sbyr[font=宋体]病毒为木马。其目的是盗取传奇世界游戏账号密码和密保卡信息。病毒运行后修改注册表,在[/font][color=black]Windows[/color][color=black][font=宋体]程序初始化中添加大量病毒项,此木马可以协助其他同类病毒添加启动项,负责添加启动项。病毒[/font][/color][font=宋体]首先释放[/font]fghdd.dll[font=宋体]并在内存加载,随之[/font]fghdd.dll[font=宋体]释放[/font]dfxh.dll
vfdh.dll[font=宋体],使用[/font]psapi.dll[font=宋体]中的[/font]EnumProcessModules[font=宋体]进行进程和进程模块枚举,用[/font]GetModuleFileNameExA[font=宋体]获得[/font][size=10pt]ANSI[/size][font=宋体]字符串方式模块进程名;将释放文件插入到[/font]Explorer.exe[font=宋体]和[/font]Spoolsv.exe[font=宋体]中,用以监视新的进程的启动。利用[/font]SetWindowsHookExA[font=宋体]设置全局键盘钩子;用[/font]ZwTerminateProcess[font=宋体]保护自身不被结束;监视[/font]woool.dat[font=宋体]进程利用[/font]SendMessageW[font=宋体]和[/font]PostMessageA[font=宋体]发送断线消息或禁止玩家登陆。本体运行后删除自身。[/font]
[align=left][align=left][b][font=宋体]清除方案:[/font][/b][b][/b][/align][/align][align=left][align=left][b]1.
[/b][b][font=宋体]使用安天防线[/font][/b][b]2008[/b][b][font=宋体]可彻底清除此病毒[/font][/b][b]([/b][b][font=宋体]推荐[/font][/b][b])[/b][/align][/align][align=left][align=left][b] [/b][/align][/align][align=left][align=left]2.
[font=宋体]手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用[/font]ATool[font=宋体](安天安全管理工具)。[/font][/align][/align][align=left][align=left](1) [font=宋体]使用安天防线[/font]2008[font=宋体]或[/font]ATool[font=宋体]中的[/font]“[font=宋体]进程管理[/font]”[font=宋体]关闭病毒进程[/font][/align][/align][align=left][align=left](2) [font=宋体]强行删除病毒文件[/font][/align][/align][align=left][align=left]
%System32%[color=black]\dfxh.dll[/color][/align][/align][align=left][align=left]%System32%[color=black]\fghdd.cfg[/color][/align][/align][align=left][align=left]%System32%[color=black]\fghdd.dll[/color][/align][/align][align=left][align=left]%System32%[color=black]\vfdh.dll[/color][/align][/align][align=left][align=left](3) [font=宋体]恢复病毒修改的注册表项目,删除病毒添加的注册表项[/font][/align][/align][align=left][align=left]
[color=black]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs[/color][/align][/align][align=left][align=left][color=black] [/color][/align][/align][align=left][align=left][color=black][font=宋体]相关链接参见:[/font][/color][color=black][url=http://www.antiy.com/security/report/20080710a.htm][color=#0055aa]http://www.antiy.com/security/report/20080710a.htm[/color][/url][/color][/align][/align]