超级巡警团队监测到恶意程序Trojan-GameThief.Win32.XiaJian.k正在传播,该病毒运行后拷贝自身到system32文件夹下并释放病毒dll文件到该文件夹,之后删除病毒文件自身并执行病毒dll文件,添加注册表项达到随机启动的目的,创建钩子来窃取用户游戏账号和密码等。超级巡警建议用户使用超级巡警来防御查杀此类广告木马。同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-GameThief.Win32.XiaJian.k
病毒别名:xiajian大盗
病毒类型:木马类
危害级别:3
感染平台:Windows
病毒大小:21,504 字节
S H A 1 :e9c284e0b4eb5e9f9ae0908cd1830306a2d6b856
加壳类型:无壳
开发工具:Microsoft Visual C++ 6.0
病毒行为:
1、拷贝病毒体到以下文件夹,并调用WinExec运行该文件后删除病毒文件:
%System%hi.exe(21,504 字节)
2、释放病毒dll文件到以下文件夹,并调用Rundll.exe来执行该病毒文件:
%System%\di6ic2ug.dll(17,000 字节)(随机名)
3、添加以下注册表键值,达到随机启动的目的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
数值名称:AppInit_DLLs
数值数据:di6ic2ug.dll(随机名)
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerShellExecuteHooks
数值名称:{CB4369B6-F362-4e68-8786-0895D86C9D7A}
数值数据:di6ic2ug.dll(随机名)
4、添加以下注册表项和键值,创建钩子来窃取密码:
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32
数值名称:""
数值数据:di6ic2ug.dll(随机名)
数值名称:ThreadingModel
数值数据:Apartment
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com/download/16.html
超级巡警工具箱下载地址:http://www.sucop.com/2009/0317/297.html
手工清除方法:
1、删除病毒释放的文件:
共有条评论
