超級巡警團隊監測到惡意程序Trojan-GameThief.Win32.XiaJian.k正在傳播,該病毒運行后拷貝自身到system32文件夾下并釋放病毒dll文件到該文件夾,之后刪除病毒文件自身并執行病毒dll文件,添加注冊表項達到隨機啟動的目的,創建鉤子來竊取用戶游戲賬號和密碼等。超級巡警建議用戶使用超級巡警來防御查殺此類廣告木馬。同時提醒廣大用戶及時更新病毒庫,對該程序進行有效查殺。
一、病毒相關分析:
病毒標簽:
病毒名稱:Trojan-GameThief.Win32.XiaJian.k
病毒別名:xiajian大盜
病毒類型:木馬類
危害級別:3
感染平臺:Windows
病毒大小:21,504 字節
S H A 1 :e9c284e0b4eb5e9f9ae0908cd1830306a2d6b856
加殼類型:無殼
開發工具:Microsoft Visual C++ 6.0
病毒行為:
1、拷貝病毒體到以下文件夾,并調用WinExec運行該文件后刪除病毒文件:
%System%hi.exe(21,504 字節)
2、釋放病毒dll文件到以下文件夾,并調用Rundll.exe來執行該病毒文件:
%System%\di6ic2ug.dll(17,000 字節)(隨機名)
3、添加以下注冊表鍵值,達到隨機啟動的目的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
數值名稱:AppInit_DLLs
數值數據:di6ic2ug.dll(隨機名)
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerShellExecuteHooks
數值名稱:{CB4369B6-F362-4e68-8786-0895D86C9D7A}
數值數據:di6ic2ug.dll(隨機名)
4、添加以下注冊表項和鍵值,創建鉤子來竊取密碼:
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32
數值名稱:""
數值數據:di6ic2ug.dll(隨機名)
數值名稱:ThreadingModel
數值數據:Apartment
二、解決方案
推薦方案:安裝超級巡警進行全面病毒查殺。超級巡警用戶請升級到最新病毒庫,并進行全盤掃描。
超級巡警下載地址:http://www.sucop.com/download/16.html
超級巡警工具箱下載地址:http://www.sucop.com/2009/0317/297.html
手工清除方法:
1、刪除病毒釋放的文件:
共有條評論
