病毒名称:Trojan-PSW.Win32.OnLineGames.zl(KASPersky)
病毒别名:Trojan.PSW.Win32.OnlineGames.cql(瑞星), Trojan.PSW.Win32.SunOnline.f [dll](瑞星)Win32.Troj.PSWGameT.lk.17408(毒霸), Win32.Troj.PSWGameT.xk.17408 [dll](毒霸)
病毒大小:22,528 字节
加壳方式:
样本MD5:7f14320161a8e7530c719965a6b8adbd
样本SHA1:a4d7132acbdedee2e7765a6d7c34e1559c8cc1ca
发现时间:2007.6
更新时间:2007.6.27
关联病毒:
传播方式:恶意网页、其它病毒下载
技术分析
木马运行后复制自身到系统目录:
%Windows%\Kvsc3.exe
释放dll注入进程:
%System%\Kvsc3.dll
(注:如果Kvsc3.dll已经存在,木马释放的dll会以随机字母作为文件名,比如olnryh.dll、ojprzc.dll)
木马创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kvsc3"="%Windows%\Kvsc3.exe"
清除步骤
1. 删除木马启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kvsc3"="%Windows%\Kvsc3.exe"
2. 重新启动计算机
3. 删除木马文件:
%Windows%\Kvsc3.exe
%System%\Kvsc3.dll
