文件名称:B831406A9770.exe 文件大小:109568 byte AV命名: Prevx:TROJAN.DOWNLOADER.GEN 加壳方式:未知 编写语言:Delphi 病毒类型:盗号木马 文件MD5:c915c5251d62c89cdfd9cff801f6e507 行为分析: 1. 释放病毒副本: C:\WINDOWS\Debug 2. 添加注册表,开机DLL文件注入Explorer: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 3. 修改注册表: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Cached 添加为: {291FABA8-CB00-488C-AC9E-B457FFC4A117} {00000000-0000-0000-C000-000000000046} 0x401 利用系统关联,由verclsid.exe启动自身。 5.由第4点,记录一些游戏的帐号和密码: Yahoo奇魔、魔兽、GASH等。 后连接网络,发送外部。 6.最后释放一个P处理:C:\windows\1.bat,删除自身。 解决方法: 1、 下载SREng和PowerRmv(备用),直接放桌面(可到down.45it.com下载)。 {291FABA8-CB00-488C-AC9E-B457FFC4A117}(C:\windows\Debug\B831406A9770.dll) 4、 然后删除这2个文件: C:\WINDOWS\Debug 如果删除不掉的话,用PowerRmv覆盖! |