木马PSW.Win32.OnLineGames.kuu分析
http://tech.ddvip.com 2008年01月16日 社区交流 收藏本文
内容摘要:网游盗号木马变种Trojan-PSW.Win32.OnLineGames.kuu,病毒运行后衍生病毒文件到系统目录下,删除自身,修改注册表,将病毒DLL文件插入到windows应用程序进程中……
衍生病毒文件kafyjcs.dll到系统目录%system32%下:
下:
将ECX的值写入kafyjcs.dll中作为send地址:
Send地址:
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDIR%Fontsenfeafx.fon
%system32%kafyjaz.exe
%system32%kafyjcs.dll
%system32%kafyjzy.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
键值: 字串: "AppInit_DLLs "="kafyjzy.dll"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{AB681598-AD5F-BC8C-77DC-748FAC8D3FBA}InprocServer32@
键值: 字串: "C:WINDOWSsystem32kafyjzy.dll"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAUAUOptions
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAUNoAutoUpdate
值: DWORD: 1 (0x1)
来源:IT专家网 作者:高喜宝 责编:豆豆技术应用