国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

一、 病毒標(biāo)簽：

病毒名稱： Trojan-PSW.Win32.OnLineGames.dpb

病毒類型： 木馬

文件 MD5：410fd81d9cee4c82529c37bd4fcbc927

公開范圍： 完全公開

危害等級(jí)： B

文件長(zhǎng)度：13.7 KB (14,101 字節(jié))

開發(fā)工具： DELPHI

加殼類型： Upack 0.3.9 beta2s

命名對(duì)照：

江民殺毒 TrojanDropper.Agent.dkk 0.819

熊貓衛(wèi)士  Trj/Lineage.BZE      4.248

瑞星          Trojan.PSW.Win32.XYOnline.jq 3.808

賽門鐵克  Infostealer.Gampass 1.952

趨勢(shì)          TSPY_ONLINEG.IMA 0.036

邁克菲      New Malware.n 0.919

金山毒霸  Win32.Troj.OnlineGames.dp.81920

二、病毒描述：

該病毒為盜取游戲賬號(hào)的木馬，釋放DLL程序遠(yuǎn)程注入所有非關(guān)鍵系統(tǒng)進(jìn)程進(jìn)行HOOK，在注冊(cè)表添加ShellExecuteHooks進(jìn)行隨機(jī)啟動(dòng)，并關(guān)閉WINDOWS防火墻。最近在網(wǎng)絡(luò)大范圍傳播。

三、行為分析

1．病毒運(yùn)行后釋放：

c:\WINDOWS\system32\kvmxacf.dll

Date: 10-3-2007 10:10 PM

Size: 140 bytes

c:\WINDOWS\system32\kvmxdis.exe

Date: 10-3-2007 10:07 PM

Size: 14,101 bytes

c:\WINDOWS\system32\kvmxdma.dll

Date: 8-4-2004 10:09 PM

Size: 22,116 bytes

c:\WINDOWS\Fonts\armease.fon

Date: 10-3-2007 10:09 PM

Size: 111 bytes

c:\WINDOWS\Fonts\armease.fon這個(gè)文件是隱藏在系統(tǒng)字體庫文件夾里的文件。內(nèi)容為：

-------

[Send]

Url1=45B3AFAFABE1F4F4ACACACF5ACB4BAB2BDBAB5BCBDBAB5BCF5B8B4B6

F4A2BAB5BCA3B2B4B5BCEDF4ABB4A8AFF5BAA8AB

應(yīng)該是經(jīng)過加密的一段作為接收密碼信息的地址，現(xiàn)在沒有直接寫在病毒體內(nèi)了。

2．注冊(cè)表改動(dòng)

增加啟動(dòng)項(xiàng)目：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"

Old type: REG_SZ

New type: REG_SZ

Old data:

New data: kvmxdma.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks "{4D47B341-43DF-4563-753F-345FFA3157D4}"

Type: REG_SZ

Data: kvmxdma.dll

關(guān)閉防火墻：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile "EnableFirewall"

Type: REG_DWORD

Data: 00, 00, 00, 00

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "EnableFirewall"

Type: REG_DWORD

Data: 00, 00, 00, 00

關(guān)閉WINDOWS更新：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "AUOptions"

Type: REG_DWORD

Data: 01, 00, 00, 00

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"

Type: REG_DWORD

Data: 01, 00, 00, 00

3．將C:\WINDOWS\system32\kvmxdma.dll注入所有非關(guān)鍵系統(tǒng)進(jìn)程并進(jìn)行WH_KEYBOARD和WH_MOUSE，WH_GETMESSAGE等掛鉤來監(jiān)視鍵盤，鼠標(biāo)和信息隊(duì)列。

清除方案：

1． 刪除文件：

用強(qiáng)制刪除工具[建議使用MJ寫的FileKill360]刪除下面列出的文件并免疫。

c:\WINDOWS\Fonts\armease.fon

c:\WINDOWS\system32\kvmxdma.dll

c:\WINDOWS\system32\kvmxdis.exe

c:\WINDOWS\system32\kvmxacf.dll

2． 刪除啟動(dòng)項(xiàng)目[建議使用SRENG查看并刪除]：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

{AppInit_DLLs}{kvmxdma.dll}  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks]

{{4D47B341-43DF-4563-753F-345FFA3157D4}}{C:\WINDOWS\system32\kvmxdma.dll}  []

建議清除不掉病毒的用戶使用專殺程序進(jìn)行清除和免疫。

【病毒風(fēng)向標(biāo)精英組：專殺工具下載】

【原文地址：http://secure.itdigger.com/2007/10/04/110719359.htm】

www.newjian.com

Tags：Infostealer.Gampass 1.952 Trojan-PSW.Win32.OnLineGames.dpb來源：