病毒资料:W32/Banker.AFJ!tr | |||||||||
基本信息 | |||||||||
病毒名称: | W32/Banker.AFJ!tr | 类型: | 木马 | 长度: | 255590 | 威胁级别: | 2 | 捕获日期: | 2006-03-01 |
其它别名: | Trojan-Dropper.Win32.Agent.ajk,PWSteal.Tarno.S,W32/Banker.IWP dropper | 影响系统: | MS-Windows | ||||||
表现特征 | |||||||||
1. 病毒文件运行后消失; 2. 若用户正在使用 IE ,IE 会关闭; 3. %SYSTEM% 目录下存在文件 msupdate.dll 和 guisetup.exe。 | |||||||||
行为分析 | |||||||||
1. 这是一个 PE 病毒,使用 Pe_Patch 和 Aspack 加壳,加壳后长度为 255,590 字节; 2. 试图关闭已经打开的 Internet Explorer 浏览器; 3. 试图释放文件 %SYSTEM%\msupdate.dll,%SYSTEM%\svchost.dll(相同文件),病毒名 W32/Banker.AFJ!tr; 试图释放文件 %SYSTEM%\guisetup.exe,%SYSTEM%\winsetup.exe(相同文件),病毒名 Spy/BDoor; 并运行 guisetup.exe; 4. 创建目录 c:\cardon,%SYSTEM%\suskn,%SYSTEM%\sucontr,%SYSTEM%\suact; 5. 删除自身。 6. msupdate.dll 和 guisetup.exe 分析如下: a) 创建注册表项 HKEY_CLASSES_ROOT\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A} 并设置子键 " InprocServer32 " = " %SYSTEM%\msuptate.dll " ; b) 监视含有下列字符串的窗口或者网页,截获用户的操作,窃取用户的帐号和密码: gold cash bank pas log user usr pwd psw pw parol firma pin clave trans ... c) 创建下列文件并写入收集到的用户信息: %SYSTEM%\winte.html %SYSTEM%\wint.ini %SYSTEM%\ierror.rep %SYSTEM%\sui.dll %SYSTEM%\sei.dll d) 将搜集到的用户信息发送给病毒作者; | |||||||||
清除方法 | |||||||||
1. 删除相关的病毒文件; 2. 打开注册表编辑器,删除病毒的注册表相关项; 3. 建议更新防毒软件病毒库至最新,全盘扫描系统。 |
正文
[病毒资料之六]guisetup.exe进程病毒2006-08-15 00:32:00
【评论】 【打印】 【字体:大 中 小】 本文链接:http://blog.pfan.cn/fengfei/17582.html
阅读(3493) | 评论(0)
版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!
评论