【簡介】
病毒分類 WINDOWS下的PE病毒 病毒名稱 Trojan.PSW.Win32.GameOL.lpi
別 名 病毒長度
依賴系統 傳播途徑
行為類型 WINDOWS下的PE病毒 感 染
病毒類型:盜號木馬
AV命名:
Trojan-PSW.Win32.OnLineGames.oex(卡巴斯基)
Win32.Troj.AgentT.fm.14452(金山)
Trojan.PSW.Win32.GameOL.lhu(瑞星)
【病毒行為】
1、 釋放病毒副本:
Trojan.PSW.Win32.GameOL.lhu,首先在Fonts目錄以比較字元串方式判斷raqjmtl.exe和raqjmni.dll是否已經存在C:\WINDOWS\Fonts\raqjmtl.exe
C:\windows\Fonts\raqjmni.dll
2、 raqjmni.dll加入註冊表,開機注入Explorer:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Registry value:
Type: REG_SZ
Value: raqjmpi.dll
3、 釋放P處理,刪除檔案:
%Systemroot%\System32\verclsid.exe
4、 注入Explorer,每隔幾毫秒檢測新進程啟動,並將raqjmpi.dll插入。
5、 如果啟動的進程為sungame.exe、TQAT.exe,則結束。
6、 然後在用戶重啟遊戲的時候,raqjmpi.dll則記錄它的帳號和密碼的輸入操作。
最後傳送至外部,完成盜號過程。
7、 病毒的其他工作:
(1)禁用系統自動更新和防火牆
(2)每隔3毫秒檢測自身註冊表,如果不在則重新生成。
(3)完全釋放後刪除舊體,毀屍滅跡。
【解決方法】
解決方法一:
1、 下載PowerRmv,後斷開網路。
2、 打開PowerRmv,填入下面內容後,選上“抑制殺滅對象生成”並確定:
C:\windows \Fonts\raqjmtl.exe
C:\windows\Fonts\raqjmni.dll
3、 重啟計算機,打開註冊表或用SREng,刪除:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
下的D4783410-4F90-34A0-7820-3230ACD05F4D
4、 及時修改網遊密碼
解決方法二:
下載360安全衛士。安裝後查殺木馬。
