|
||||||||
 |
||||||||
 |
|
|
|||||||||||||||||||
|
||||||||||||||||||||
| 警惕盗号木马Trojan-PSW.Win32.QQPass.btc Trojan-PSW.Win32.QQPass.btc病毒为传奇世界游戏盗号木马,病毒运行后复制自身并衍生DLL文件到%Windir%目录下,分别重命名为49400L.exe、49400WL.DLL,病毒运行后调用CMD命令自我删除,将病毒文件49400WL.DLL注入到Explorer.exe系统进程;添加注册表项,以达到随机启动的目的;遍历查找游戏窗口woool.dat,通过截获用户的键盘和鼠标消息获取“传奇世界”的账号和密码,读取游戏目录里的..user.ini配置文件,获取用户所在游戏服务器的相关信息,通过URL发送到木马种植者指定的接收网址。 清除方案: 1. 使用安天木马防线可彻底清除此病毒(推荐)。 2. 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用ATOOL“进程管理”关闭病毒相关进程 1. 结束Explorer.exe进程 (2) 强行删除病毒文件 2. %Windir%49400L.exe 3. %Windir%49400WL.DLL (3) 删除病毒服务注册表项 4. [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 新建键值: "WinSysW" 类型: REG_SZ 字符串: “C:WINDOWS49400L.exe” |
|
Copyright ◎ 2004 - 2008 红客中国安全网版权所有
|