;病毒标签:
病毒名称:Trojan-GameThief.Win32.XiaJian.k
病毒别名:xiajian大盗
病毒类型:木马类
危害级别:3
感染平台:Windows
病毒大小:21,504 字节
S H A 1 :e9c284e0b4eb5e9f9ae0908cd1830306a2d6b856
加壳类型:无壳
开发工具:Microsoft Visual C++ 6.0
病毒行为:
1、拷贝病毒体到以下文件夹,并调用WinExec运行该文件后删除病毒文件:
%System%hi.exe(21,504 字节)
2、释放病毒dll文件到以下文件夹,并调用Rundll.exe来执行该病毒文件:
%System%di6ic2ug.dll(17,000 字节)(随机名)
3、添加以下注册表键值,达到随机启动的目的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
数值名称:AppInit_DLLs
数值数据:di6ic2ug.dll(随机名)
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerShellExecuteHooks
数值名称:{CB4369B6-F362-4e68-8786-0895D86C9D7A}
数值数据:di6ic2ug.dll(随机名)
4、添加以下注册表项和键值,创建钩子来窃取密码:
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32
数值名称:""
数值数据:di6ic2ug.dll(随机名)
数值名称:ThreadingModel
数值数据:Apartment
解决方案
手工清除方法:
1、删除病毒释放的文件:
打开超级巡警工具箱,选择【扩展功能】,从【文件浏览器】中找到以下文件,在文件上右键暴力删除:
%System%di6ic2ug.dll(17,000 字节)(随机名)
2、重启电脑后,删除以下注册表项或注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
数值名称:AppInit_DLLs
数值数据:di6ic2ug.dll(随机名)
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerShellExecuteHooks
数值名称:{CB4369B6-F362-4e68-8786-0895D86C9D7A}
数值数据:di6ic2ug.dll(随机名)
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32
数值名称:""
数值数据:di6ic2ug.dll(随机名)
数值名称:ThreadingModel
数值数据:Apartment
标签:
