快捷導(dǎo)航

inst.exe,Setup.exe木馬Trojan-PSW.Win32.Magania.cjy解決方法

更新時(shí)間：2008年01月05日 21:36:47 作者：

木馬Trojan-PSW.Win32.Magania.cjy
inst.exe,Setup.exe
Backdoor/Agent.apnf
病毒名稱： Trojan-PSW.Win32.Magania.cjy
病毒類型：木馬
江民殺毒 10.00.650  Backdoor/Agent.apnf 1.395
NOD32 2.70.10  a variant of Win32/PSW.OnLineGames.NFF trojan 4.185

該病毒為瑪格尼亞病毒的新變種，釋放一個(gè)DLL通過掛鉤和內(nèi)存截獲來盜取網(wǎng)絡(luò)游戲的帳號密碼。運(yùn)行之后將釋放一些AV圖片并打開，再釋放病毒到Program Files與WINDOWS\Help目錄下。

行為分析
運(yùn)行以后釋放文件：
c:\Program Files\inst.exe
  Date: 11-29-2007 11:00 PM
  Size: 103,163 bytes
c:\Program Files\inst.txt
  Date: 11-29-2007 10:44 PM
  Size: 0 bytes
c:\Program Files\Setup.exe
  Date: 12-28-2007 2:41 PM
  Size: 76,388 bytes
c:\Program Files\MyPic\2006924192650605.jpg
  Date: 7-19-2007 6:28 AM
  Size: 7,613 bytes
c:\Program Files\MyPic\2006924192732323.jpg
  Date: 7-19-2007 6:28 AM
  Size: 7,649 bytes
c:\Program Files\MyPic\2006924192810432.jpg
  Date: 7-19-2007 6:28 AM
  Size: 7,598 bytes
c:\Program Files\MyPic\2006924192810821.jpg
  Date: 7-19-2007 6:28 AM
  Size: 13,258 bytes
c:\Program Files\MyPic\2006924192810918.jpg
  Date: 7-19-2007 6:28 AM
  Size: 7,702 bytes
c:\WINDOWS\1.bat
  Date: 1-4-2008 1:06 PM
  Size: 96 bytes
c:\WINDOWS\Help\F3C74E3FA248.dll
  Date: 1-4-2003 1:06 PM
  Size: 60,928 bytes
c:\WINDOWS\Help\F3C74E3FA248.exe
  Date: 12-28-2007 2:41 PM
  Size: 76,388 bytes
圖片均為AV圖片。

釋放問后運(yùn)行
c:\WINDOWS\Help\F3C74E3FA248.dll
c:\WINDOWS\Help\F3C74E3FA248.exe
盜取游戲帳號密碼。

建立服務(wù)進(jìn)行開機(jī)啟動：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\ShellExecuteHooks "{1DBD6574-D6D0-4782-94C3-69619E719765}"
  Type: REG_SZ
  Data: c:\WINDOWS\Help\F3C74E3FA248.dll

解決方案：
刪除文件：
c:\Program Files\inst.exe
c:\Program Files\inst.txt
c:\Program Files\Setup.exe
c:\Program Files\MyPic\2006924192650605.jpg
c:\Program Files\MyPic\2006924192732323.jpg
c:\Program Files\MyPic\2006924192810432.jpg
c:\Program Files\MyPic\2006924192810821.jpg
c:\Program Files\MyPic\2006924192810918.jpg
c:\WINDOWS\1.bat
c:\WINDOWS\Help\F3C74E3FA248.dll
c:\WINDOWS\Help\F3C74E3FA248.exe

刪除注冊表服務(wù)啟動項(xiàng)目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\ShellExecuteHooks\{1DBD6574-D6D0-4782-94C3-69619E719765}

您可能感興趣的文章: