盗号木马Win32.PSWTroj.Onlinegame.dz.10768解决方案
来自:MACD论坛(bbs.macd.cn)
作者:guyou888
浏览:2411
回复:2
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
盗号木马Win32.PSWTroj.Onlinegame.dz.10768解决方案病毒名称:Win32.PSWTroj.Onlinegame.dz.10768
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:10768
影响系统:WinNT Win2000 WinXP
病毒行为:
这是一个盗取网络游戏《征途》帐号信息的盗取木马.病毒会在系统文件夹下的 system32 目录释放用于盗号的病毒文件.该病毒文件注入 explorer.exe 进程.病毒会不断重写自身的注册表启动项.
运行后释放的病毒文件:
%systemroot%\system32\ztfree0.dll
病毒文件 ztfree0.dll 注入 explorer.exe 进程.
病毒不断重写注册表启动项,以防自身的启动项被删除,防止病毒在重启后不运行.
判断病毒文件是否注入到 zhengtu.dat 进程.如是,则开始进行盗号操作.(通过读取 zhengtu.dat 进程的内存盗取帐号信息)
病毒创建注册表:
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}ztDllModuleName"%systemroot%\system32\ztfree0.dll"
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}ztSobjEventName"PASDERQRSAEEAZT_0"
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}\InprocServer32@"%systemroot%\system32\ztfree0.dll"
病毒通过注册表创建自启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{E952B8F8-D91A-4EDD-851C-EE1A0F944469} "zt is hook"
成功盗取网络游戏《征途》的帐号信息后,将盗取所得的信息发送到以下地址:
hxxp://www.we***.org/o***nd/zt/lin.asp? srv=?&id=?&p=?&s=?&ss=?&js=?&gj=?&dj=?&yz =?(锭)?(两)?(文)&pc=[用户的计算机名]
解决方案:
这个盗号木马采用的是系统执行挂钩开机运行,清理专家2.1是最简单的修复工具,建议在使用毒霸解决掉病毒文件后,直接使用清理专家的修复功能,把zt is hook的执行挂钩项删除。 |