软件发布版本释义
品牌个性的推广可以提高全
October 4, 2007 21:30 |
一、 病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.dpb
病毒类型: 木马
文件 MD5:410fd81d9cee4c82529c37bd4fcbc927
公开范围: 完全公开
危害等级: B
文件长度:13.7 KB (14,101 字节)
开发工具: DELPHI
加壳类型: Upack 0.3.9 beta2s
命名对照:
江民杀毒 TrojanDropper.Agent.dkk 0.819
熊猫卫士 Trj/Lineage.BZE 4.248
瑞星 Trojan.PSW.Win32.XYOnline.jq 3.808
赛门铁克 Infostealer.Gampass 1.952
趋势 TSPY_ONLINEG.IMA 0.036
迈克菲 New Malware.n 0.919
金山毒霸 Win32.Troj.OnlineGames.dp.81920
二、病毒描述:
该病毒为盗取游戏帐号的木马,释放DLL程序远程注入所有非关键系统进程进行HOOK,在注册表添加ShellExecuteHooks进行随机启动,并关闭WINDOWS防火墙。最近在网络大范围传播。
三、行为分析
1.病毒运行后释放:
c:\WINDOWS\system32\kvmxacf.dll
Date: 10-3-2007 10:10 PM
Size: 140 bytes
c:\WINDOWS\system32\kvmxdis.exe
Date: 10-3-2007 10:07 PM
Size: 14,101 bytes
c:\WINDOWS\system32\kvmxdma.dll
Date: 8-4-2004 10:09 PM
Size: 22,116 bytes
c:\WINDOWS\Fonts\armease.fon
Date: 10-3-2007 10:09 PM
Size: 111 bytes
c:\WINDOWS\Fonts\armease.fon这个文件是隐藏在系统字体库文件夹里的文件。内容为:
-------
[Send]
Url1=45B3AFAFABE1F4F4ACACACF5ACB4BAB2BDBAB5BCBDBAB5BCF5B8B4B6
F4A2BAB5BCA3B2B4B5BCEDF4ABB4A8AFF5BAA8AB
应该是经过加密的一段作为接收密码信息的地址,现在没有直接写在病毒体内了。
2.注册表改动
增加启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"
Old type: REG_SZ
New type: REG_SZ
Old data:
New data: kvmxdma.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "{4D47B341-43DF-4563-753F-345FFA3157D4}"
Type: REG_SZ
Data: kvmxdma.dll
关闭防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile "EnableFirewall"
Type: REG_DWORD
Data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "EnableFirewall"
Type: REG_DWORD
Data: 00, 00, 00, 00
关闭WINDOWS更新:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "AUOptions"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"
Type: REG_DWORD
Data: 01, 00, 00, 00
3.将C:\WINDOWS\system32\kvmxdma.dll注入所有非关键系统进程并进行WH_KEYBOARD和WH_MOUSE,WH_GETMESSAGE等挂钩来监视键盘,鼠标和信息队列。
清除方案:
1. 删除文件:
用强制删除工具[建议使用MJ写的FileKill360]删除下面列出的文件并免疫。
c:\WINDOWS\Fonts\armease.fon
c:\WINDOWS\system32\kvmxdma.dll
c:\WINDOWS\system32\kvmxdis.exe
c:\WINDOWS\system32\kvmxacf.dll
2. 删除启动项目[建议使用SRENG查看并删除]:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kvmxdma.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{{4D47B341-43DF-4563-753F-345FFA3157D4}}{C:\WINDOWS\system32\kvmxdma.dll} []
建议清除不掉病毒的用户使用专杀程序进行清除和免疫。
下载文件
由于文件正在常使用所以直接删除无法删除只能借助于一些强制删除工具。
360粉碎工具下载
病毒名称: Trojan-PSW.Win32.OnLineGames.dpb
病毒类型: 木马
文件 MD5:410fd81d9cee4c82529c37bd4fcbc927
公开范围: 完全公开
危害等级: B
文件长度:13.7 KB (14,101 字节)
开发工具: DELPHI
加壳类型: Upack 0.3.9 beta2s
命名对照:
江民杀毒 TrojanDropper.Agent.dkk 0.819
熊猫卫士 Trj/Lineage.BZE 4.248
瑞星 Trojan.PSW.Win32.XYOnline.jq 3.808
赛门铁克 Infostealer.Gampass 1.952
趋势 TSPY_ONLINEG.IMA 0.036
迈克菲 New Malware.n 0.919
金山毒霸 Win32.Troj.OnlineGames.dp.81920
二、病毒描述:
该病毒为盗取游戏帐号的木马,释放DLL程序远程注入所有非关键系统进程进行HOOK,在注册表添加ShellExecuteHooks进行随机启动,并关闭WINDOWS防火墙。最近在网络大范围传播。
三、行为分析
1.病毒运行后释放:
c:\WINDOWS\system32\kvmxacf.dll
Date: 10-3-2007 10:10 PM
Size: 140 bytes
c:\WINDOWS\system32\kvmxdis.exe
Date: 10-3-2007 10:07 PM
Size: 14,101 bytes
c:\WINDOWS\system32\kvmxdma.dll
Date: 8-4-2004 10:09 PM
Size: 22,116 bytes
c:\WINDOWS\Fonts\armease.fon
Date: 10-3-2007 10:09 PM
Size: 111 bytes
c:\WINDOWS\Fonts\armease.fon这个文件是隐藏在系统字体库文件夹里的文件。内容为:
-------
[Send]
Url1=45B3AFAFABE1F4F4ACACACF5ACB4BAB2BDBAB5BCBDBAB5BCF5B8B4B6
F4A2BAB5BCA3B2B4B5BCEDF4ABB4A8AFF5BAA8AB
应该是经过加密的一段作为接收密码信息的地址,现在没有直接写在病毒体内了。
2.注册表改动
增加启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"
Old type: REG_SZ
New type: REG_SZ
Old data:
New data: kvmxdma.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "{4D47B341-43DF-4563-753F-345FFA3157D4}"
Type: REG_SZ
Data: kvmxdma.dll
关闭防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile "EnableFirewall"
Type: REG_DWORD
Data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "EnableFirewall"
Type: REG_DWORD
Data: 00, 00, 00, 00
关闭WINDOWS更新:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "AUOptions"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"
Type: REG_DWORD
Data: 01, 00, 00, 00
3.将C:\WINDOWS\system32\kvmxdma.dll注入所有非关键系统进程并进行WH_KEYBOARD和WH_MOUSE,WH_GETMESSAGE等挂钩来监视键盘,鼠标和信息队列。
清除方案:
1. 删除文件:
用强制删除工具[建议使用MJ写的FileKill360]删除下面列出的文件并免疫。
c:\WINDOWS\Fonts\armease.fon
c:\WINDOWS\system32\kvmxdma.dll
c:\WINDOWS\system32\kvmxdis.exe
c:\WINDOWS\system32\kvmxacf.dll
2. 删除启动项目[建议使用SRENG查看并删除]:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kvmxdma.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{{4D47B341-43DF-4563-753F-345FFA3157D4}}{C:\WINDOWS\system32\kvmxdma.dll} []
建议清除不掉病毒的用户使用专杀程序进行清除和免疫。
下载文件 由于文件正在常使用所以直接删除无法删除只能借助于一些强制删除工具。
360粉碎工具下载
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus();){kind=logo}
![KuMoo's Blog - [ Box Stop Here ]](http://www.kumoo.net/logo.gif){kind=logo}
Name:小竹熊
Name:KuMoo