|
网游木马 winform.exe winform.dll 解决方案
档案编号:CISRT2007045
病毒名称:Trojan-PSW.Win32.OnLineGames.mq(Kaspersky)
病毒别名:Trojan.PSW.OnlineGames.aeq(瑞星)
Win32.Troj.PswGame.mc.17408(毒霸)
病毒大小:17,408 字节
加壳方式:
样本MD5:97290b914f131a4886b5c32186a1742c
样本SHA1:45cfcdca19c94f53f50aab521c80fa9e194fb170
发现时间:2007.4
更新时间:2007.4
关联病毒:
传播方式:恶意网页、其它病毒或木马下载
技术分析
==========
变种:
【CISRT2007005】、【CISRT2007013】、【CISRT2007036】、【CISRT2007037】、【CISRT2007038】
网游木马,运行后复制自身到系统目录:
%Windows%\winform.exe
释放dll注入Explorer.exe进程:
%System%\winform.dll
创建启动项:
($('code0'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winform"="%Windows%\winform.exe"
尝试向卡巴斯基(Kaspersky)警报和瑞星注册表监控提示对话框发送“允许”和“跳过”命令
清除步骤
==========
1. 删除木马启动项:
($('code1'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winform"="%Windows%\winform.exe"
2. 重新启动计算机
3. 删除木马文件:
%Windows%\winform.exe
%System%\winform.dll
PcHiHi
| 
