下载地址:
简体中文版下载
繁体中文版下载
前言:目前网络游戏盗号木马群(Trojan.PSW.OnlineGame.xxx)正在疯狂传播主要表现run1132.exe lsass.exe cmdbcs.dll winlog0a.exe Servera.exe twunk32.exe Ghook.dll norton.exe
msdcrtx.exe wsvbs.exe cmdbcs.exe等多种盗号木马变种,杀毒软件报这种病毒为Trojan.PSW.Onlinegame 这些木马释放文件太多并且都插入dll到系统进程,给删除带来了很大困难,同时由于这些木马盗号成功率极高,所以成了黑客盗号时的首选.根据各大网站的求助报告分析,目前中这些木马的用户至少几十万人,成为网络虚拟财产的头号威胁。
技术分析:
这些盗号木马群会下载和释放大量文件到用户计算机(一部分样本实例截图):
运行流程:
产生大量文件,并下载一大堆其他盗号木马,注入到系统进程隐藏自己,部分文件如下:
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\cmdbcs.dll
C:\DOCUME~1\acer\LOCALS~1\Temp\upxdnd.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe
C:\DOCUME~1\acer\LOCALS~1\Temp\Rav20.dll
C:\DOCUME~1\sissy\LOCALS~1\Temp\rundl132.exe
盗号木马Ghook.dll文件所在目录一般是隐藏的,在"C:\随机目录"下,并且会下载一大把盗号木马:iexpl0ra.exe, iexp1ore.exe,iexpl0re.exe,iexp1ora.exe到用户计算机上安装.严重影响计算机速度.
创建注册表启动项目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"run1132"="%Windows%\run1132.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msdccrt"="%Windows%\msdccrt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wsvbs"="%Windows%\wsvbs.exe"
盗号专杀:
木马清除大师-网游医生采用"立体杀毒"方法可以完整清除此类盗号木马群,不仅可以清除木马文件,还可以从注册表中清除掉木马的启动项目及其他残留,还给您一个干干净净的系统。
木马清除大师-网游医生清除木马截图:
木马解决方案:
1.木马清除大师用户直接升级到最新病毒库即可彻底清除。
2.下载木马清除大师网游医生立即强力清除。
3.操作系统请开启自动更新,IE浏览器打最新补丁,避免中网页木马。
|
