百度首页 | 百度空间
 
查看文章
  
Trojan-PSW.Win32.OnlineGames.kw病毒分析
2007-05-15 18:55

Trojan-PSW.Win32.OnlineGames.kw盗号木马还真是可恶至极!看我下面的简单分析:

中毒症状:进程中有cmd.exe与IEXPLORE.EXE(不是你自己打开的),cmd.exe进程占用很大的CPU百分率!系统日期被改为1987年,卡巴无法使用!并且重启电脑几分钟内电脑会又会自动重启(为什么?)

一、运行病毒后生成如下病毒文件:
%system32%\servet.exe
%system32%\Deleteme.bat
%system32%\AVG.exe
%system32%\CFTMON.exe
%system32%\INETINF.exe
%system32%\SMSSS.exe
%system32%\LSASSS.exe
%system32%\SOUND.exe
%system32%\SVCHOTS.exe
%system32%\ALP.exe
%system32%\nwizAsktao.exe
%system32%\DATSC.exe
%system32%\MSTCS.exe
%system32%\ADOBESVC.exe
%system32%\TASKMRG.exe
%system32%\mh100.exe
%system32%\winform.dll
%system32%\mppds.dll
%system32%\upxdnd.dll
%system32%\msccrt.dll
%system32%\cmdbcs.dll
%system32%\javavm.dll
%system32%\mh100.dll
%system32%\drivers\usbine.sys (这个是Trojan-Downloader.Win32.small.czl!)
%systemroot%\winform.exe
%systemroot%\mppds.exe
%systemroot%\msccrt.exe
%systemroot%\cmdbcs.exe
%systemroot%\javavm.exe
%systemroot%\temp\c0nime.exe
%Temp%\c0nime.exe
X:\servet.exe
X:\autorun.inf

PS:上面有些病毒文件在发作过程中会删除自身。此处%system32%表示C:\windows\system32(如果你的操作系统是装在C盘的话),%systemroot%表示C:\windows,%temp%表示临时文件夹,X表示每个盘符。

二、创建如下注册表值项:
1、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\winform
值:C:\windows\winform.exe
2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\mppds
值:C:\windows\system32\mppds.exe
3、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\upxdnd
值:C:\windows\upxdnd.exe
4、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\xm666ivz2y(名称随机的,这导致我的专杀碰到了点困难。)
值:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Kvsc3
值:C:\windows\Kvsc3.exe
6、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\msccrt
值:C:\windows\msccrt.exe
7、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\cmdbcs
值:C:\windows\cmdbcs.exe
8、HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load
值:NULL
9、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\javavm
值:C:\windows\javavm.exe

三、修改系统“日期和时间”属性,将日期改为1987年,也许就是这个原因导致卡巴无法正常使用。专杀已经写好了,并且在原来模板的基础了进行了一些优化,使得代码更加简洁。点击这查看:Trojan-PSW.Win32.OnlineGames.kw专杀


类别:Virus | 添加到搜藏 | 浏览() | 评论 (3)
 
最近读者:
 
网友评论:
1
2007-05-15 23:22
恩我中的病毒有这个特征 IE自动打开不过我看不到,只是显示在进程里,IE却自动隐藏了?
还有修改日期也很不爽
 
2
2007-05-16 11:17
恩,IE在后台运行。估计你中的就是此毒吧。
 
3
2007-09-07 02:28
руский я
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码:
 

     

©2008 Baidu