其它名称:W32/Agent.BNZ (F-Secure), Troj/Bckdr-PUS (Sophos), Win32/Frethog.AS!Trojan, Infostealer.JiangHu (Symantec), Win32/Rewzaq.F, Backdoor.Win32.Agent.ajq (Kaspersky)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Rewzaq是一族特洛伊病毒,能够盗窃与"Eudemons Online"网络游戏相关的敏感信息,还会下载并运行任意文件。
感染方式:
运行时,Win32/Rewzaq生成以下文件到%System%目录:
winlogin.exe
userspi.dll
Security.exe
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
"Security.exe"文件作为一个服务安装:
Service Name: ServerAC
Display Name: Server Advance
Service Description: Appears in Chinese text and translates to "Provide local users advanced protection mechanism"
Path to Executable: %System%Security.exe
Startup Type: Automatic
"winlogin.exe"文件注入一个很小的代码到"explorer.exe"程序,用来设置一个"THREVENT",为了与其它的生成程序相通。如果这个文件被删除,特洛伊会再次生成它。
危害:
盗窃敏感信息
特洛伊盗窃敏感信息,例如与中国的网络游戏"Eudemons Online"的注册信息和游戏人物信息。它查找名为"soul.exe"的进程,列举与这个游戏相关的特定的中文窗口。特洛伊可能盗窃以下信息:
游戏帐户的用户名和密码;
游戏人物的职业;
人物拥有的金钱数量;
人物的级别。
随后将这些信息发送到特定域的一个网站,可能是以下中的一个:
lczzz.com
rx1965.com
20968.com
下载并运行任意文件
Win32/Rewzaq能够从一个特定的域下载并运行一个文件。从21fa.com域下载并运行一个文件%Temp%emp.exe。
注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下位置:"C:Documents and Settings<username>Local SettingsTemp",或 "C:WINDOWSTEMP"。
清除:
KILL安全胄甲最新版本可检测/清除此病毒。
1、 由于这个种木马带有生成伪装系统文件,所以给手动删除造成迷惑,故需要十分小心判认。
2、 此木马会通过系统保护项重复生成感染。
3、 此木马也可能会在C:Documents and Settings系统用户名Local SettingsTemp生成1.exe、2.exe等可执行文件进行破坏exe关联。
4、 中毒后,病毒修改了系统执行关联,控制不能执行.exe的命令,重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件Program FilesInternet Exploreriexplore.com,故上网时不能直接使用IE执行,有存在Windowsexplorer.com也要先删除。
解决步骤: 1、 开机启动时按F8,选择带网络的安全模式进入,打开我的电脑,从工具->文件夹选项,在查看中,勾选[显示系统文件夹的内容],去掉勾选 [隐藏受保护的操作系统文件]的勾。选择[显示所有文件],去掉隐藏已知的后缀名。
然后到以上描棕的文件夹里,把相应的病毒文件删除。
如果不能正确判断文件是否系统文件还是伪系统文件,可以下载最新的木马分析专家扫描分析,会列出这些文件名,然后用他的病毒文件定位,把它们一一删除。
2、 在资源管理器的地址栏上直接输入:
C:Documents and Settings系统用户名Local SettingsTemporary Internet FilesContent.IE5
C:Documents and Settings系统用户名Local SettingsTemporary Internet Files
C:Documents and Settings系统用户名Local SettingsTemp
这三个临时文件夹中的文件全部直接删除。
3、 连接上网络,在资源管理器的地址栏上直接输入:http://cn.zs.yahoo.com/
然后在IE修复的高级修复中,通过扫描出来后,把所有未知的勾上,然后点立即修复,完成后,到IE修复的保护IE,启动保护中,把保护系统启动项勾选,把启动项保护起来。
4、 在雅虎助手的IE修复的编辑Hosts表,发现有IP,后面的网址的话,把前面的IP改为127.0.0.1 ,然后点击立即保存,重新启动计算机。
5、 重启系统后,用杀病毒软件(保持最新的病毒特征库)进行完全查杀病毒。