病毒名称:Trojan-PSW.Win32.OnLineGames.aci [exe](Kaspersky) 病毒别名:PWS-LegMir.dll [dll](McAfee) Trojan.PSW.Win32.WsGame.y [exe](瑞星), Trojan.PSW.Win32.OnlineGames.xny [dll](瑞星) Win32.Troj.OnlineGames.ac.69632 [exe](毒霸), Win32.Troj.OnlineGames.ac.57232 [dll](毒霸) 病毒大小:8,476 字节 加壳方式:UPack 样本MD5:82671c6922bd5252c0c5c66de44299f5 样本SHA1:dd94740fdc09ee3cdc7846610cb4e6a29b2ef7b0 发现时间:2007.8 更新时间:2007.8.10 关联病毒: 传播方式:恶意网页、其它木马下载
技术分析 ==========
网游木马,运行后释放dll到系统目录: %System%\ztdoor0.dll
创建ShellExecuteHooks启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{E952B8F8-D91A-4EDD-851C-EE1A0F944469}"="hook zt"
[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}\InprocServer32] @="%System%\ztdoor0.dll" 木马会不断重写释放出的dll文件和启动项。
设置注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}] "daExeModuleName"="{原文件}" "daDllModuleName"="%System%\ztdoor0.dll" "daSobjEventName"="YUTDFGHKHCOOLZT_0" 清除步骤 ==========
1. 结束Explorer.exe进程
2. 删除(或重命名/移动)木马文件: %System%\ztdoor0.dll
3. 运行Explorer.exe进程
4. 删除木马创建的ShellExecuteHooks启动项和相关信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{E952B8F8-D91A-4EDD-851C-EE1A0F944469}"
[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}]
[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}] 5. 如果第2步中没有删除木马文件,重启计算机后再删除重命名或移动过的木马文件: %System%\ztdoor0.dll
|