档案编号:CISRT2007030
病毒名称:Trojan-PSW.Win32.OnLineGames.es(Kaspersky)
病毒别名:Trojan.PSW.ZhengTu.ahw(瑞星)
Win32.Troj.Lmir.dx.8517(毒霸)
病毒大小:13,824 字节
加壳方式:
样本MD5:f3380e935d0e37926e8da040fcb6b11e
样本SHA1:aee63213ffb361793be9bf19306725f80d51fee1
发现时间:2007.2
更新时间:2007.1.31
关联病毒:
传播方式:恶意网页、其它病毒下载
技术分析
==========
征途网游木马,运行后复制自身到临时目录:
%temp%upxdnd.exe
释放dll注入进程:
%temp%upxdnd.dll
创建启动项:
($('code0'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"upxdnd"="%temp%upxdnd.exe"
监视卡巴斯基(Kaspersky)警报对话框发送“允许”命令;监视瑞星注册表监控提示发送“跳过”命令
电脑硬件网
清除步骤
==========
1. 删除启动项:
($('code1'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"upxdnd"="%temp%upxdnd.exe"
2. 重新启动计算机
3. 删除文件:
%temp%upxdnd.exe
%temp%upxdnd.dll