基本信息
檔案編號:CISRT2007031
病毒名稱:Trojan-PSW.Win32.Nilage.bft(Kaspersky)
病毒別名:Trojan.PSW.ZhengTu.ajj(瑞星)
Win32.Troj.Nilage.gc.37196(毒霸)
病毒大小:21,504 位元組
樣本MD5:01e7c9fe51a72bfa12eecad2c6b15fe9
樣本SHA1:3bfa29a20b29fc3a35bca3585a5c7852ad15dd12
關聯病毒:
傳播方式:惡意網頁、其它病毒下載
技術分析
==========
一個網遊木馬,運行後複製自身到系統目錄:
%Windows%\c0nime.exe
釋放dll注入進程:
%System%\Gjzos.dll
創建啟動項:
($('code0'));">[Copy to clipboard]:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"{隨機字母}"="%Windows%\c0nime.exe"
(每隔3分鐘重建啟動項)
嘗試結束進程:
FilMsg.exe
Twister.exe
www.54pe.com
監視卡巴斯基(Kaspersky)警報對話框傳送“允許”命令
清除步驟
==========
1. 刪除啟動項:
($('code1'));">[Copy to clipboard]:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"{隨機字母}"="%Windows%\c0nime.exe"
2. 重新啟動計算機
3. 刪除檔案:
%Windows%\c0nime.exe
%System%\Gjzos.dll
