Win32/Rewzaq是特洛伊病毒,能夠盜竊與"Eudemons Online"網路遊戲相關的敏感信息,還會下載並運行任意檔案。
基本介紹
- 中文名:特洛伊病毒Win32.RewzaqFamily
- 病毒屬性:特洛伊木馬
- 危害性:中等危害
- 目錄:winlogin.exe
常見的名稱,病毒屬性,危害性,具體介紹,感染方式,目錄,注,危害,清除,解決步驟,
常見的名稱
灰鴿子,冰河,藍劍
W32/Agent.BNZ (F-Secure), Troj/Bckdr-PUS (Sophos), Trojan, Infostealer.JiangHu (Symantec), Win32/Rewzaq.F, Backdoor.Win32.Agent.ajq (Kaspersky)
病毒屬性
特洛伊木馬
危害性
中等危害
具體介紹
感染方式
運行時,Win32/Rewzaq生成以下檔案到%System%
目錄
userspi.dll Security.exe
注
'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。 "Security.exe"檔案作為一個服務安裝: Service Name: ServerAC Display Name: Server Advance Service Description: Appears in Chinese text and translates to "Provide local users advanced protection mechanism" Path to Executable: %System%\Security.exe Startup Type: Automatic "winlogin.exe"檔案注入一個很小的代碼到"explorer.exe"程式,用來設定一個"THREVENT",為了與其它的生成程式相通。如果這個檔案被刪除,特洛伊會再次生成它。
危害
盜竊敏感信息 特洛伊盜竊敏感信息,例如與中國的網路遊戲"Eudemons Online"的註冊信息和遊戲人物信息。它查找名為"soul.exe"的進程,列舉與這個遊戲相關的特定的中文視窗。
特洛伊可能盜竊以下信息: 遊戲帳戶的用戶名和密碼; 遊戲人物的職業; 人物擁有的金錢數量; 人物的級別。 隨後將這些信息傳送到特定域的一個網站,可能是以下中的一個: 下載並運行任意檔案 Win32/Rewzaq能夠從一個特定的域下載並運行一個檔案。從m域下載並運行一個檔案%Temp%\temp.exe。 註:'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定Temp資料夾的位置。一般在以下位置:"C:\Documents and Settings\<username>\Local Settings\Temp",或 "C:\WINDOWS\TEMP"。
清除
KILL安全胄甲最新版本可檢測/清除此病毒。
1、 由於這個種木馬帶有生成偽裝系統檔案,所以給手動刪除造成迷惑,故需要十分小心判認。
2、 此木馬會通過系統保護項重複生成感染。
3、 此木馬也可能會在C:\Documents and Settings\系統用戶名\Local Settings\Temp\生成1.exe、2.exe等執行檔進行破壞exe關聯。
4、 中毒後,病毒修改了系統執行關聯,控制不能執行.exe的命令,重啟電腦系統後會導致病毒防火牆等都不能啟動。此時IE執行的命令檔案是病毒檔案Program Files\Internet Explorer\,故上網時不能直接使用IE執行,有存在也要先刪除。
解決步驟
1、 開機啟動時按F8,選擇帶網路的安全模式進入,打開我的電腦,從工具->資料夾選項,在查看中,勾選[顯示系統資料夾的內容],去掉勾選 [隱藏受保護的作業系統檔案]的勾。選擇[顯示所有檔案],去掉隱藏已知的後綴名。 然後到以上描棕的資料夾里,把相應的病毒檔案刪除。 如果不能正確判斷檔案是否系統檔案還是偽系統檔案,可以下載最新的木馬分析專家掃描分析,會列出這些檔案名稱,然後用他的病毒檔案定位,把它們一一刪除。
2、 在資源管理器的地址欄上直接輸入: C:\Documents and Settings\系統用戶名\Local Settings\Temporary Internet Files\ C:\Documents and Settings\系統用戶名\Local Settings\Temporary Internet Files\ C:\Documents and Settings\系統用戶名\Local Settings\Temp\ 這三個臨時資料夾中的檔案全部直接刪除。
3、 連線上網路,在資源管理器的地址欄上直接輸入: 然後在IE修復的高級修復中,通過掃描出來後,把所有未知的勾上,然後點立即修復,完成後,到IE修復的保護IE,啟動保護中,把保護系統啟動項勾選,把啟動項保護起來。
4、 在雅虎助手的IE修復的編輯Hosts表,發現有IP,後面的網址的話,把前面的IP改為127.0.0.1 ,然後點擊立即保存,重新啟動計算機。
5、 重啟系統後,用殺病毒軟體(保持最新的病毒特徵庫)進行完全查殺病毒。
