Trojan-PSW.win32.GamePass.gd

該病毒屬木馬類,病毒運行後衍生病毒檔案到系統目錄下,修改註冊表,使系統靜音,添加啟動項,以達到隨機啟動的目的。偽裝系統進程。病毒釋放的檔案Lgsym.dll插入系統進程explorer.exe中。這是一個未知殼,未脫殼時不能在虛擬機中運行,脫殼後可以運行。

基本介紹人

病毒名稱: Trojan-PSW.win32.GamePass.gd
病毒類型: 木馬
檔案 MD5: FB05BC1DC3C1CA66E44E8B69AEADEEE5
公開範圍: 完全公開
危害等級: 3
檔案長度:38,289 位元組
感染系統: windows98以上版本
加殼類型: 未知殼

病毒描述

未脫殼運行後會生成以下檔案:
%WINDIR%5359-8621-2429-7641-5702\ActiveUser.SLS
%WINDIR%5359-8621-2429-7641-5702\CheckOut.SLS
%WINDIR%5359-8621-2429-7641-5702\Licence.SLS
脫殼後運行無上術檔案。說明上述檔案是殼釋放的檔案。
該木馬專門盜取網路遊戲完美世界的賬號與密碼。衍生的檔案LgSyl.dll可以監視完美世界進程ElementClient.exe並記錄遊戲賬號與密碼。

行為分析

1、病毒運行後衍生病毒檔案到系統目錄下:
%system32%\lgsym.dll
%system32%\winsusrm.dll
%WINDIR%\iexpl0re.exe
%WINDIR%5359-8621-2429-7641-5702\ActiveUser.SLS
%WINDIR%5359-8621-2429-7641-5702\CheckOut.SLS
%WINDIR%5359-8621-2429-7641-5702\Licence.SLS
2、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
鍵值: 字串: "0wexiqd6lx"="C:\winnt\iexpl0re.exe"
3、修改註冊表,使系統靜音:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
\{6994AD04-93EF-11D0-A3CC00A0C9223196}\##?#PCI#VEN_8086&DEV_24C5&SUBSYS_4720414C&REV
_02#3&13C0B0C5&0&FD#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#Wave\Device Parameters\Mixer\0\Controls\1
新建鍵值:字串:"Channel0"=DWORD: 1 (0x1)
原鍵值:字串:"Channel0"=DWORD: 0 (0)
4、偽裝系統進程:
該病毒進程名為iexpl0re.exe偽裝系統進程iexplore.exe。
5、病毒釋放的檔案Lgsym.dll插入系統進程explorer.exe中。
LgSym.dllTrojan-PSW.Win32.Nilage.gp
LgSym.dll可以監視網路遊戲完美世界進程ElementClient.exe,當用戶啟動ElementClient.exe進程後,病毒會記錄輸入的遊戲賬號與密碼。
server=?
&
gameid=&
&
pass=
&
pin=
&
wupin=
&
role=
&
equ=
&
other=
server=?
&
gameid=&
機器名:%20viewstatus.asp
金錢:



註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
iexpl0re.exe
結束進程explorer.exe後立即刪除檔案Lgsym.dll。
(2) 刪除病毒檔案
%system32%\lgsym.dll
%system32%\winsusrm.dll
%WINDIR%\iexpl0re.exe
%WINDIR%5359-8621-2429-7641-5702\ActiveUser.SLS
%WINDIR%5359-8621-2429-7641-5702\CheckOut.SLS
%WINDIR%5359-8621-2429-7641-5702\Licence.SLS
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
鍵值: 字串: "0wexiqd6lx"="C:\winnt\iexpl0re.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
\{6994AD04-93EF-11D0-A3CC00A0C9223196}\##?#PCI#VEN_8086&DEV_24C5&SUBSYS_4720414C&REV_02
#3&13C0B0C5&0&FD#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#Wave\Device Parameters\Mixer\0\Controls\1
新建鍵值:字串:"Channel0"=DWORD: 1 (0x1)
原鍵值:字串:"Channel0"=DWORD: 0 (0)

相關搜尋

熱門詞條

聯絡我們