前幾天有同事,在不知情的情況下中了標。這 Trojan 還好沒什麼殺傷/破壞力,僅僅偷取某 OLG 帳密。
大概查了一下,得到一些結論,如下
病毒名稱:Trojan-PSW.Win32.Delf.ns(Kaspersky)
發現時間:2006.09
更新時間:2006.09
傳播方式:通過惡意網頁傳播、其它木馬下載
技術分析
==========
這個木馬應該是夢幻西遊木馬,主程式使用的是「記事本」圖示,原應 mhh.exe,執行後複製本身到系統目錄,並更名 %WINDIR%\Download\svhost32.exe,後釋放程式 %WINDIR%\System\xydll.dll 且感染其它處理程序。
建立啟動 RegKey
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xy"="%WINDIR%\Download\svhost32.exe"
清除方式
1. 結束%WINDIR%\Download\svhost32.exe 處理程序
2. 刪除病毒文件 %WINDIR%\Download\svhost32.exe
3. 刪除啟動 RegKey
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xy"="%WINDIR%\Download\svhost32.exe"
4. 電腦重開機
5. 刪除檔案 %WINDIR%\System\xydll.dll
0 留言