档案编号:CISRT2007031
病毒名称:Trojan-PSW.Win32.Nilage.bft(Kaspersky)
病毒别名:Trojan.PSW.ZhengTu.ajj(瑞星)
Win32.Troj.Nilage.gc.37196(毒霸)
病毒大小:21,504 字节
加壳方式:UPX
样本MD5:01e7c9fe51a72bfa12eecad2c6b15fe9
样本SHA1:3bfa29a20b29fc3a35bca3585a5c7852ad15dd12
发现时间:2007.2
更新时间:2007.2.12
关联病毒:
传播方式:恶意网页、其它病毒下载
技术分析
==========
一个网游木马,运行后复制自身到系统目录:
%Windows%c0nime.exe
释放dll注入进程:
%System%Gjzos.dll
创建启动项:
($('code0'));">[Copy to clipboard]:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"{随机字母}"="%Windows%c0nime.exe"
(每隔3分钟重建启动项)
尝试结束进程:
FilMsg.exe
Twister.exe
www.54pe.com
监视卡巴斯基(Kaspersky)警报对话框发送“允许”命令
清除步骤
==========
1. 删除启动项:
($('code1'));">[Copy to clipboard]:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"{随机字母}"="%Windows%c0nime.exe"
2. 重新启动计算机
3. 删除文件:
%Windows%c0nime.exe
%System%Gjzos.dll