OnLineGames.es

病毒簡介

病毒名稱:Trojan/PSW.OnLineGames.es
病毒中文名:“網遊竊賊”變種bs
病毒類型:木馬
危險級別 ★★
影響平台:Win 9X/ME/NT/2000/XP

描述

Trojan/PSW.OnLineGames.bs“網遊竊賊”變種be運行後，在後台秘密監視用戶鍵盤操作，當用戶登入網路遊戲頁面時，竊取玩家遊戲帳號和密碼，並傳送到黑客指定信箱里。
傳播方式：惡意網頁、其它病毒下載
木馬運行後複製自身到系統目錄：
%Windows%\run1132.exe
或
%Windows%\msdccrt.exe
或
%Windows%\wsvbs.exe
或
%Windows%\cmdbcs.exe
釋放dll庫檔案注入進程：
%System%\run1132.dll
或
%System%\mdddsccrt.dll
或
%System%\wsvbs.dll
或
%System%\cmdbcs.dll
創建啟動項：
:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"run1132"="%Windows%\run1132.exe"
或
:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"msdccrt"="%Windows%\msdccrt.exe"
或
:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"wsvbs"="%Windows%\wsvbs.exe"
或
:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"cmdbcs"="%Windows%\cmdbcs.exe"

清除步驟

1. 刪除木馬的啟動項：
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"run1132"="%Windows%\run1132.exe"
或:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"msdccrt"="%Windows%\msdccrt.exe"
或:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"wsvbs"="%Windows%\wsvbs.exe"
或:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"cmdbcs"="%Windows%\cmdbcs.exe"
2. 重新啟動計算機
3. 刪除木馬檔案：
%Windows%\run1132.exe
%System%\run1132.dll
或
%Windows%\msdccrt.exe
%System%\mdddsccrt.dll
或
%Windows%\wsvbs.exe
%System%\wsvbs.dll
或
%Windows%\cmdbcs.exe
%System%\cmdbcs.dll