知识库编号: RSV0707702
内容分类: 木马病毒
适用产品分类:瑞星杀毒软件.单机版.标准版.2007
瑞星杀毒软件.单机版.升级版.2007
瑞星杀毒软件.单机版.下载版.2007
关键词: Trojan.PSW.OnlineGames
本文介绍Trojan.PSW.OnlineGames病毒资料及清除方法。
【病毒分析】:
病毒使用Delphi编写,并且使用UPX加壳,病毒运行后有以下行为:
1、将自己复制到%WINDIR%目录下,文件名为"exxplorer.exe"。
2、修改以下注册表键值以达到其自启动的目的:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionRun
增加数据项:"exxplorer"??? 数据值为:"%WINDIR%EXXPLORER.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRunServices
增加数据项:"exxplorer"??? 数据值为:"%WINDIR%EXXPLORER.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
修改数据项:"Shell"??????? 修改后的数据值为:"Explorer.exe %WINDIR%EXXPLORER.EXE"
3、修改系统文件"SYSTEM.INI"以下数据项,以达到其自启动的目的。
4、搜索当前系统是否有名为"exxplorer"的窗体,如果有,病毒则退出。病毒通过这种方式来确保系统中只有一个病毒文件在运行。
5、结束某些反病毒软件的进程。
6、记录本地计算机的系统信息以及游戏"传奇世界"的帐号、密码、服务器地址、所属区域等信息,并写入注册表"HKEY_CLASSES_ROOTwoool"键下。
7、将窃取的信息发送到指定的邮箱内。
【清除方法】:
使用瑞星橙色八月专杀工具查杀,在内存扫描完成后,打开瑞星杀毒软件升级到最新版本全盘查杀。