Generic.PWS.Games.1.8C456B1D分析与专杀
[b]转自发掘网。[/b][b]一、 病毒标签:[/b]
病毒名称: Generic.PWS.Games.1.8C456B1D[BD]
病毒类型: 木马
文件 MD5: 7d44477f81b7fd0f1f2db4e52d65354b
公开范围: 完全公开
危害等级: B
文件长度: 10.2 KB (10,519 字节)
加壳类型: UPX 0.80 - 0.84壳
命名对照:
AntiVir Found TR/Crypt.ULPM.Gen
[b][color=#008000]【专杀下载:[/color][/b][url=http://bbs.itdigger.com/ShowThread.aspx?PostID=6836][b][color=#008000]http://bbs.itdigger.com/ShowThread.aspx?PostID=6836[/color][/b][/url][b][color=#008000]】[/color][/b]
[b]二、 病毒描述:[/b]
该病毒由Trojan-PSW.Win32.OnLineGames.coo连接网络进行下载以及被挂有木马页面的网站进行传播。
[b]三、 行为分析[/b]
注册表增加:
HKEY_CLASSES_ROOT\CLSID\{3422FB0F-95EB-458A-8B56-39552017A4EF}\InprocServer32 "(Default)"
Type: REG_SZ
Data: C:\WINDOWS\system32\mhdoor0.dll
启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks"{3422FB0F-95EB-458A-8B56-39552017A4EF}"
Type: REG_SZ
Data: C:\WINDOWS\system32\mhdoor0.dll
文件释放:
C:\WINDOWS\system32\mhdoor0.dll
然后将C:\WINDOWS\system32\mhdoor0.dll注入系统关键进程之外的所有进程。
[b][color=#008000]【专杀下载:[/color][/b][url=http://bbs.itdigger.com/ShowThread.aspx?PostID=6836][b][color=#008000]http://bbs.itdigger.com/ShowThread.aspx?PostID=6836[/color][/b][/url][b][color=#008000]】[/color][/b]
[b]四、手工解决方案:[/b]
1.删除文件:
用强制删除工具[建议使用MJ写的FileKill360]删除下面列出的文件并免疫。
C:\WINDOWS\system32\mhdoor0.dll
2.删除启动项目[建议使用SRENG查看并删除]:
注册表启动:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> 建议清除不掉的用户使用专杀程序进行清除和免疫。
[b][color=#008000]【专杀下载:[/color][/b][url=http://bbs.itdigger.com/ShowThread.aspx?PostID=6836][b][color=#008000]http://bbs.itdigger.com/ShowThread.aspx?PostID=6836[/color][/b][/url][b][color=#008000]】[/color][/b]
页:
[1]
