木马PSW.Win32.OnLineGames.kuu分析

病毒名称: Trojan-PSW.Win32.OnLineGames.kuu

中文名称: 网游盗号木马

病毒类型: 木马

文件 MD5: D1CA82FD63C7C760CBE43A2520A28E34

文件长度: 14,703 字节

感染系统: Windows98以上版本

开发工具: Borland Delphi v4.0 - v5.0

加壳类型: Upack 0.3.9 beta2s

病毒描述:

该病毒属木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身;修改注册表,将病毒衍生的DLL文件插入到windows应用程序进程中,禁止windows自动更新功能;该病毒可以盗取用户网络游戏的账号与密码。

行为分析:

本地行为:

1、病毒运行后删除自身,衍生病毒文件:

%WINDIR%\Fonts\enfeafx.fon
%system32%\kafyjaz.exe
%system32%\kafyjcs.dll
%system32%\kafyjzy.dll

2、修改注册表:

将病毒衍生的DLL文件插入到windows应用程序进程中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Windows\

键值: 字串: "AppInit_DLLs "="kafyjzy.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{AB681598-AD5F-BC8C-77DC-748FAC8D3FBA}\InprocServer32\@

键值: 字串: "C:\WINDOWS\system32\kafyjzy.dll"

3、病毒修改注册表,禁止windows自动更新:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

WindowsUpdate\AU\AUOptions

值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

WindowsUpdate\AU\NoAutoUpdate

值: DWORD: 1 (0x1)

4、病毒衍生的病毒文件kafyjzy.dll插入explorer.exe和应级进程中。

网络行为:

该病毒将盗取的游戏账号与密码发送到以下地址:

加密前:

CE382424206A7F7F2727277E27313E3431687E333F3D7F242836353E3729257F203F23247E312320

时间: 2024-10-01 08:05:21

木马PSW.Win32.OnLineGames.kuu分析的相关文章

inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法_病毒查杀

木马Trojan-PSW.Win32.Magania.cjy inst.exe,Setup.exe Backdoor/Agent.apnf  病毒名称: Trojan-PSW.Win32.Magania.cjy 病毒类型: 木马 江民杀毒 10.00.650  Backdoor/Agent.apnf 1.395 NOD32 2.70.10  a variant of Win32/PSW.OnLineGames.NFF trojan 4.185 该病毒为玛格尼亚病毒的新变种,释放一个DLL通过挂钩

一句话木马的原理及利用分析(asp,aspx,php,jsp)_网络安全

一句话木马的适用环境: 1.服务器的来宾账户有写入权限 2.已知数据库地址且数据库格式为asa或asp 3.在数据库格式不为asp或asa的情况下,如果能将一句话插入到asp文件中也可 一句话木马的工作原理: "一句话木马"服务端(本地的html提交文件) 就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 <%execute request("

PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除_病毒查杀

 1.  释放病毒文件: C:\WINDOWS\Help F3C74E3FA248.dll  143872 字节 F3C74E3FA248.exe  74532 字节 2.  添加启动项: Registrykey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks    Registry value: {1DBD6574-D6D0-4782-94C3-69619E719765} Type: REG_

对十种Web恶意软件的详细分析

此文阐述的是臭名远扬的十种Web恶意软件,根据思科所发布的2010年全球威胁报告的内容,犯罪份子正利用搜索引擎优化与社交工程来使其邪恶伎俩更高效,将更多的目标受害者吸引到少量的网址上.传播恶意软件的网站可能已经趋于稳定, 但是web所滋生的恶意软件却在与日俱增.根据思科所发布的2010年全球威胁报告的内容,犯罪份子正利用搜索引擎优化和社交工程来使其伎俩更高效,将更多的目标受害者吸引到少量的网址上.借助于IronPort SenderBase,思科 估计搜索引擎查询导致了74%的web恶意软件感染

手工查杀SMSS.exe hook.dll fOxkb.sys的方法_病毒查杀

病毒名称:Trojan-PSW.Win32.OnLineGames.qw [dll](Kaspersky), Rootkit.Win32.Agent.fy [sys](Kaspersky) 病毒别名:Trojan.PSW.Win32.JHOnline.a [exe](瑞星), Trojan.PSW.Win32.OnlineGames.dba [dll](瑞星)  Trojan.PSW.Win32.JHOnline.a [sys](瑞星) 病毒大小:49,664 字节 加壳方式: 样本MD5:33

臭名昭著的十种Web恶意攻击软件

传播恶意软件的网站可能已经趋于稳定,但是web所滋生的恶意软件却在与日俱增.根据思科所发布的2010年全球威胁报告的内容,犯罪份子正利用搜索引擎优化和社交工程来使其伎俩更高效,将更多的目标受害者吸引到少量的网址上. 借助于IronPort SenderBase,思科估计搜索引擎查询导致了74%的web恶意软件感染.幸运的是,其中的三分之二并没有产生漏洞利用代码或者已经被阻止.但这意味着35%的web漏洞利用仍在浏览器中肆虐,在这里这些恶意代码试图破坏文件,窃取信息,传播自己,或等待进一步的指示.

什么是木马行为分析

木马行为分析是通过对流行木马病毒的行为进行分析,监控未知的木马病毒,抢在其对您操作系统进行破坏之前"扼杀"掉.当程序触发木马行为防御规则后,瑞星会弹出提示并询问用户处理方式.如下图 出现此提示时,您可以参考以下操作: 如何对此功能进行[设置]? 您可以通过软件主界面上的[设置]--[电脑防护]--[木马行为防御]来设置个性化的保护.

实例分析一个简单的Win32程序_C 语言

本文较为详细的分析了一个Win32程序的组成.结构.实现方法及运行原理,对于进行Windows程序设计有很好的借鉴参考价值.分享给大家供大家参考之用.具体分析如下: 一.Windows程序与普通C或C++程序的不同 学过C或C++等语言的人都知道,我们写的程序都一个入口,main函数,但是在Win32程序里,我们的入口函数又是什么呢?它是怎么样运行的,跟我们用C或C++写的控制台程序又有什么不同呢? 我们先说Win32程序跟我们控制台的程序的一个很重要的不同点,就是Win32程序是一个消息响应程

木马播报 警惕网上被“钓鱼”

360安全中心发布:本周,安全中心监测" 钓鱼"网站的投诉呈放大趋势,且手段翻新,行为更为隐秘.经过调查,除了常用的以相似网址诱使用户登录,并窃取其密码的手段外,用声称来自某大公司的邮件,让您点击一个恶意网站链接,从而窃取您的密码和其它隐私信息这种方式也正在大肆传播.专家提醒,在收到不明邮件时一定要小心甄别,以防中招. 据悉,网络"钓鱼"一直以来是存在于网络的一种恶意手段,其通过各种方式伪装成正规网络服务提供商来骗取受害人的帐号密码等其他隐私信息.通过邮件方式进行网