东方微点-ag旗舰厅首页

  ag旗舰厅首页  
ag旗舰厅首页-ag亚洲国际厅  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版ag旗舰厅首页
 |   |   |   |   |   |  各地代理商
 

“玛格尼亚”变种trojan-psw.win32.magania.rxk



未安装微点主动防御软件的手动解决办法:

1.手动删除以下文件

%systemroot%\system32\cjvesk.dat
%systemroot%\system32\bvkiwp1.dat
%systemroot%\system32\bvkiwp2.dat
%systemroot%\system32\bvkiwp3.dat
%systemroot%\system32\bvkiwp4.dat
%systemroot%\system32\bvkiwp5.dat
%programfiles%\hgreag\elijnixxb.dll(名称随机)

变量声明:

%systemdriver%       系统所在分区,通常为“c:\”
%systemroot%        windodws所在目录,通常为“c:\windows”
%documents and settings%  用户文档目录,通常为“c:\documents and settings”
%temp%           临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles%       系统程序默认安装目录,通常为:“c:\programfiles”

病毒分析:

(1),创建进程快照,遍历查找进程"360tray.exe"、"ravmond.exe"、"qqpctray.exe"进程,若找到则分别标志。
(2),判断是否存在%systemroot%\system32\cjvesk.dat,如果有则退出程序,用该文件来标示本机是否运行过病毒。
(3),在系统目录下分别创建文件" bvkiwp1.dat "、" bvkiwp 2.dat"、" bvkiwp 3.dat"、" bvkiwp 4.dat"、" bvkiwp 5.dat",将配置信息分别写入到所创建的五个文件中,并设置为隐藏属性。
(4),创建目录"%programfiles%\hgreag\",并在此目录下创建elijnixxb.dll(名称随机),释放病毒代码到此文件中。
(5),通过调用lsp系统函数wscenumprotocols、wscinstallprovider、wscwriteproviderorder安装xvzgnwowz.dll到系统网络协议链中,更新所有服务提供者的安装顺序,把自定义的服务提供者排在所有协议的最前列,此时所有基于winsock实现的程序都会加载xvzgnwowz.dll。
(6),如果发现系统进和中存在安全软件进程,则直接退出程序,否则删除自身后退出程序。
(7),通过wsp系列wspsend()函数等截取用户游戏账号密码等网络数据发送至黑客指定地址。

病毒创建文件:

%systemroot%\system32\cjvesk.dat
%systemroot%\system32\bvkiwp1.dat
%systemroot%\system32\bvkiwp2.dat
%systemroot%\system32\bvkiwp3.dat
%systemroot%\system32\bvkiwp4.dat
%systemroot%\system32\bvkiwp5.dat
%programfiles%\hgreag\elijnixxb.dll(名称随机)

病毒访问网络:

www.sz***.com:54325/anquan

免费试用
下  载

网站地图