Trojan-PSW.Win32.OnLineGames.gag病毒分析解决_电脑软硬件应用网

首页·电脑学院·电脑故障·操作系统·硬件教程·局域网技术·QQ技巧·网络安全·办公软件· 数据库

导航·设计学院·图像处理·网页设计·软件教程·服务器技术·笔记本·专家装机·网络编程·在线问答

当前位置：电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文

Trojan-PSW.Win32.OnLineGames.gag病毒分析解决

Trojan-PSW.Win32.OnLineGames.gag病毒分析解决

2007-11-20 12:51:07　　文/Greysign 　　出处:发掘网　　

一、病毒标签：
病毒名称： Trojan-PSW.Win32.OnLineGames.gag
病毒类型：盗号木马
文件 MD5：6cae365da17509c86591ad39631d01b2
公开范围：完全公开
危害等级： B
文件长度：   14.8 KB (15,162 字节)
开发工具： Borland Delphi
加壳类型： Upack 0.3.9 beta2s壳
命名对照：
江民杀毒  TrojanSpy.Delf.aud
金山毒霸  Win32.Troj.AgentT.fm.14452
AVAST  Win32:OnLineGames-BGD [Trj]

二、病毒描述：
该病毒为盗号木马，盗征途游戏的帐号。

三、行为分析
增加启动项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks "{6E32FA58-3453-FA2D-BC49-F340348ACCE6}"
Type: REG_SZ
Data: rsmyfpm.dll

修改注册表屏蔽自动更新：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU "AUOptions"
  Type: REG_DWORD
  Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU "NoAutoUpdate"
  Type: REG_DWORD
  Data: 01, 00, 00, 00

屏蔽防火墙：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile "EnableFirewall"
  Type: REG_DWORD
  Data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile "EnableFirewall"
  Type: REG_DWORD
  Data: 00, 00, 00, 00

释放文件：
c:\WINDOWS\Fonts\gemoand.fon
  Date: 11-15-2007 11:08 PM
  Size: 107 bytes
c:\WINDOWS\system32\rsmyafg.dll
  Date: 11-15-2007 11:08 PM
  Size: 60 bytes
c:\WINDOWS\system32\rsmyfpm.dll
  Date: 8-4-2004 11:08 PM
  Size: 22,624 bytes
c:\WINDOWS\system32\rsmyfsp.exe
  Date: 11-15-2007 11:02 PM
  Size: 15,162 bytes

解决方案：
用FILEKILLER360（可到down.45its.com下载）删除以下文件
c:\WINDOWS\Fonts\gemoand.fon
  Date: 11-15-2007 11:08 PM
  Size: 107 bytes
c:\WINDOWS\system32\rsmyafg.dll
  Date: 11-15-2007 11:08 PM
  Size: 60 bytes
c:\WINDOWS\system32\rsmyfpm.dll
  Date: 8-4-2004 11:08 PM
  Size: 22,624 bytes
c:\WINDOWS\system32\rsmyfsp.exe
  Date: 11-15-2007 11:02 PM
  Size: 15,162 bytes

用SRENG2.5（可到down.45its.com下载）删除注册表启动项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks "{6E32FA58-3453-FA2D-BC49-F340348ACCE6}"

注解帮助：

%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

A级
大面积感染流行，并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积，或者有鲜明的技术特点值得进一步关注，或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行，或虽然有一定感染流行面积，但是既往B级蠕虫变种。
D级
有极少量感染流行，但有一定潜在威胁。
E级
没有发现感染流行。

上一篇文章： Backdoor.Win32.Jusi.cj病毒分析手动解决

下一篇文章： vip.exe videodevice.dll Wn_Sys8x.Sys病毒分析解决

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…