病毒名稱：Trojan-PSW.Win32.OnLineGames.qw [dll]（Kaspersky）, Rootkit.Win32.Agent.fy [sys]（Kaspersky）
　　病毒別名：Trojan.PSW.Win32.JHOnline.a [exe]（瑞星）, Trojan.PSW.Win32.OnlineGames.dba [dll]（瑞星）
　　　　　 Trojan.PSW.Win32.JHOnline.a [sys]（瑞星）
　　病毒大?。?9,664 字節(jié)
　　加殼方式：
　　樣本MD5：335838f3badbc6532211e19988f008a9
　　樣本SHA1：1c13b0d60b8838dcb5581e21f0526b1d6412a5d8
　　發(fā)現(xiàn)時(shí)間：2007.7
　　更新時(shí)間：2007.7
　　關(guān)聯(lián)病毒：
　　傳播方式：通過惡意網(wǎng)站傳播，其它木馬下載


　　技術(shù)分析
　　==========

　　木馬運(yùn)行后復(fù)制自身到系統(tǒng)目錄下：
　　%Windows%\system\SMSS.exe
　　并釋放dll：
　　%Windows%\system\hook.dll

　　在當(dāng)前位置釋放驅(qū)動(dòng)fOxkb.sys：


　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]

　　木馬隱藏自身進(jìn)程，在任務(wù)管理器、ProceXP等進(jìn)程管理程序中不可見。

　　創(chuàng)建啟動(dòng)項(xiàng)：


　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"

　　約每5秒重寫一次。


　　清除步驟
　　==========

　　1. 使用IceSword結(jié)束木馬進(jìn)程：
　　%Windows%\system\SMSS.exe

　　2. 刪除文件(如遇提示無法刪除文件，到down.45it.com下載費(fèi)爾木馬強(qiáng)制刪除器工具進(jìn)行強(qiáng)制刪除)：
　　%Windows%\system\SMSS.exe
　　%Windows%\system\hook.dll

　　3. 刪除木馬啟動(dòng)項(xiàng)（詳細(xì)步驟：打開SREng－啟動(dòng)項(xiàng)目－注冊(cè)表）：SREng軟件也可到down.45it.com下載


　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"

　　4. 刪除注冊(cè)表中木馬添加的驅(qū)動(dòng)信息（詳細(xì)步驟：打開SREng－啟動(dòng)項(xiàng)目－驅(qū)動(dòng)程序）：
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]

　　5. 刪除木馬釋放的驅(qū)動(dòng)文件(如遇提示無法刪除文件，到down.45it.com下載費(fèi)爾木馬強(qiáng)制刪除器工具進(jìn)行強(qiáng)制刪除)：
　　fOxkb.sys

最新評(píng)論