基本介紹
- 中文名:RG8.tmp
- 感染對象:Windows 2000/Windows XP/Windows 2003/Windows Vista
- 傳播途徑:網頁掛馬、檔案捆綁、下載器下載
- 病毒分析:病毒運行後動態獲取所需API,查找並結束"JX3Client.exe"進程。
感染對象,傳播途徑,病毒分析,解決辦法,
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、檔案捆綁、下載器下載
病毒分析
1.病毒運行後動態獲取所需API,查找並結束"JX3Client.exe"進程。
2.查找類名為"App",標題為"天下貳 公測版"的視窗,傳送訊息關閉該視窗。
3.釋放檔案%temp%\RG8.tmp,並拷貝為"%SystemRoot%\system\RG8.tmp"。
4.拷貝"%SystemRoot%\system32\dsound.dll"為同目錄下的dsound.dll.mod。
5.感染dsound.dll.mod,調用sfc_os#5去掉dsound.dll的保護,用感染後的dsound.dll.mod替換正常檔案dsound.dll。
6.當被感染後的dsound.dll調用後,會載入RG8.tmp。
7.在RG8.tmp中,獲取遊戲賬號信息,創建密保卡截圖,連線網路,傳送到指定地址。
病毒創建檔案:
%temp%\RG8.tmp
%SystemRoot%\system\RG8.tmp
%SystemRoot%\system32\dsound.dll.mod
病毒替換檔案:
%SystemRoot%\system32\dsound.dll
解決辦法
1、手動刪除以下檔案(如遇提示無法刪除檔案,下載費爾木馬強制刪除器工具進行強制刪除)
%temp%\RG8.tmp
%SystemRoot%\system\RG8.tmp
2、手動替換以下檔案:
用相同版本替換%SystemRoot%\system32\dsound.dll
變數聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時資料夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程式默認安裝目錄,通常為:“C:\ProgramFiles”