文件名称：B831406A9770.exe

文件大小：109568 byte

AV命名：

Prevx：TROJAN.DOWNLOADER.GEN
Arcavir：Trojan.Psw.Onlinegames.Ktv
NORMAN：W32/Smalltroj.BPSH

加壳方式：未知

编写语言：Delphi

病毒类型：盗号木马

文件MD5：c915c5251d62c89cdfd9cff801f6e507

行为分析：

1． 释放病毒副本：

C:\WINDOWS\Debug
(文件) B831406A9770.dll, 157696 字节
(文件) B831406A9770.exe 8, 109568 字节

2． 添加注册表，开机DLL文件注入Explorer：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{291FABA8-CB00-488C-AC9E-B457FFC4A117}（C:\windows\Debug\B831406A9770.dll）

3． 修改注册表：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Cached

添加为：

{291FABA8-CB00-488C-AC9E-B457FFC4A117} {00000000-0000-0000-C000-000000000046} 0x401

利用系统关联，由verclsid.exe启动自身。
4． B831406A9770.dll使用HOOK技术挂勾Explorer，记录键盘、鼠标等操作信息。

5.由第4点，记录一些游戏的帐号和密码：

Yahoo奇魔、魔兽、GASH等。

后连接网络，发送外部。

6.最后释放一个P处理：C:\windows\1.bat，删除自身。

解决方法：

1、 下载SREng和PowerRmv(备用)，直接放桌面(可到down.45it.com下载)。
2、 重启电脑，按F8进入安全模式。
3、 打开SREng删除注册表项，指向这个的：

{291FABA8-CB00-488C-AC9E-B457FFC4A117}（C:\windows\Debug\B831406A9770.dll）

4、 然后删除这2个文件：

C:\WINDOWS\Debug
(文件) B831406A9770.dll, 157696 字节
(文件) B831406A9770.exe 8, 109568 字节

如果删除不掉的话，用PowerRmv覆盖！