下載地址:
簡體中文版下載
繁體中文版下載
前言:目前網絡遊戲盜號木馬群(Trojan.PSW.OnlineGame.xxx)正在瘋狂傳播主要表現run1132.exe lsass.exe cmdbcs.dll winlog0a.exe Servera.exe twunk32.exe Ghook.dll norton.exe
msdcrtx.exe wsvbs.exe cmdbcs.exe等多種盜號木馬變種,殺毒軟體報這種病毒爲Trojan.PSW.Onlinegame 這些木馬釋放文件太多並且都插入dll到系統進程,給刪除帶來了很大困難,同時由于這些木馬盜號成功率極高,所以成了黑客盜號時的首選.根據各大網站的求助報告分析,目前中這些木馬的用戶至少幾十萬人,成爲網絡虛擬財産的頭號威脅。
技術分析:
這些盜號木馬群會下載和釋放大量文件到用戶計算機(一部分樣本實例截圖):
運行流程:
産生大量文件,並下載一大堆其他盜號木馬,注入到系統進程隱藏自己,部分文件如下:
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\cmdbcs.dll
C:\DOCUME~1\acer\LOCALS~1\Temp\upxdnd.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe
C:\DOCUME~1\acer\LOCALS~1\Temp\Rav20.dll
C:\DOCUME~1\sissy\LOCALS~1\Temp\rundl132.exe
盜號木馬Ghook.dll文件所在目錄一般是隱藏的,在"C:\隨機目錄"下,並且會下載一大把盜號木馬:iexpl0ra.exe, iexp1ore.exe,iexpl0re.exe,iexp1ora.exe到用戶計算機上安裝.嚴重影響計算機速度.
創建注冊表啓動項目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"run1132"="%Windows%\run1132.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msdccrt"="%Windows%\msdccrt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wsvbs"="%Windows%\wsvbs.exe"
盜號專殺:
木馬清除大師-網遊醫生采用"立體殺毒"方法可以完整清除此類盜號木馬群,不僅可以清除木馬文件,還可以從注冊表中清除掉木馬的啓動項目及其他殘留,還給您一個幹幹淨淨的系統。
木馬清除大師-網遊醫生清除木馬截圖:
木馬解決方案:
1.木馬清除大師用戶直接升級到最新病毒庫即可徹底清除。
2.下載木馬清除大師網遊醫生立即強力清除。
3.操作系統請開啓自動更新,IE浏覽器打最新補丁,避免中網頁木馬。
|
