病毒屬性:特洛伊木馬危害性:中等危害流行程度:
具體介紹:
病毒特性:Win32/Rewzaq是一族特洛伊病毒,能夠盜竊與"Eudemons Online"網路遊戲相關的敏感信息,還會下載並運行任意檔案。
感染方式:
運行時,Win32/Rewzaq生成以下檔案到%System%目錄:
winlogin.exe
userspi.dll
Security.exe
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
"Security.exe"檔案作為一個服務安裝:
Service Name: ServerAC
Display Name: Server Advance
Service Description: Appears in Chinese text and translates to "Provide local users advanced protection mechanism"
Path to Executable: %System%\Security.exe
Startup Type: Automatic
"winlogin.exe"檔案注入一個很小的代碼到"explorer.exe"程式,用來設定一個"THREVENT",為了與其它的生成程式相通。如果這個檔案被刪除,特洛伊會再次生成它。
危害:
盜竊敏感信息
特洛伊盜竊敏感信息,例如與中國的網路遊戲"Eudemons Online"的註冊信息和遊戲人物信息。它查找名為"soul.exe"的進程,列舉與這個遊戲相關的特定的中文視窗。特洛伊可能盜竊以下信息:
遊戲帳戶的用戶名和密碼;
遊戲人物的職業;
人物擁有的金錢數量;
人物的級別。
隨後將這些信息傳送到特定域的一個網站,可能是以下中的一個:
lczzz.com
rx1965.com
20968.com
下載並運行任意檔案
Win32/Rewzaq能夠從一個特定的域下載並運行一個檔案。從21fa.com域下載並運行一個檔案%Temp%\temp.exe。
註:'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定Temp資料夾的位置。一般在以下位置:"C:\Documents and Settings\<username>\Local Settings\Temp",或 "C:\WINDOWS\TEMP"。
清除:
KILL安全胄甲最新版本可檢測/清除此病毒。
1、 由於這個種木馬帶有生成偽裝系統檔案,所以給手動刪除造成迷惑,故需要十分小心判認。
2、 此木馬會通過系統保護項重複生成感染。
3、 此木馬也可能會在C:\Documents and Settings\系統用戶名\Local Settings\Temp\生成1.exe、2.exe等執行檔進行破壞exe關聯。
4、 中毒後,病毒修改了系統執行關聯,控制不能執行.exe的命令,重啟電腦系統後會導致病毒防火牆等都不能啟動。此時IE執行的命令檔案是病毒檔案Program Files\Internet Explorer\iexplore.com,故上網時不能直接使用IE執行,有存在Windows\explorer.com也要先刪除。
解決步驟: 1、 開機啟動時按F8,選擇帶網路的安全模式進入,打開我的電腦,從工具->資料夾選項,在查看中,勾選【顯示系統資料夾的內容】,去掉勾選 【隱藏受保護的作業系統檔案】的勾。選擇【顯示所有檔案】,去掉隱藏已知的後綴名。
然後到以上描棕的資料夾里,把相應的病毒檔案刪除。
如果不能正確判斷檔案是否系統檔案還是偽系統檔案,可以下載最新的木馬分析專家掃描分析,會列出這些檔案名稱,然後用他的病毒檔案定位,把它們一一刪除。
2、 在資源管理器的地址欄上直接輸入:
C:\Documents and Settings\系統用戶名\Local Settings\Temporary Internet Files\Content.IE5\
C:\Documents and Settings\系統用戶名\Local Settings\Temporary Internet Files\
C:\Documents and Settings\系統用戶名\Local Settings\Temp\
這三個臨時資料夾中的檔案全部直接刪除。
3、 連線上網路,在資源管理器的地址欄上直接輸入:http://cn.zs.yahoo.com/
然後在IE修復的高級修復中,通過掃描出來後,把所有未知的勾上,然後點立即修復,完成後,到IE修復的保護IE,啟動保護中,把保護系統啟動項勾選,把啟動項保護起來。
4、 在雅虎助手的IE修復的編輯Hosts表,發現有IP,後面的網址的話,把前面的IP改為127.0.0.1 ,然後點擊立即保存,重新啟動計算機。
5、 重啟系統後,用殺病毒軟體(保持最新的病毒特徵庫)進行完全查殺病毒。
相關條目
特洛伊病毒Win32.SillyDl.IQ
Win32.Kipis.A蠕蟲病毒
蠕蟲病毒Win32.Luder.U
特洛伊病毒Win32.Chepvil.C
蠕蟲病毒Win32.Luder.O
蠕蟲病毒Win32.Robzips.M
蠕蟲病毒Win32.Duiskbot.AF