爱毒霸社区
拒绝当“肉鸡” 保安获大奖!
顽固病毒解决方案大全
一点一滴学电脑应用技巧
毒霸2008教程——清理专家
欺骗是攻击者最热衷的手法
爱毒霸社区推荐安全工具下载
如何使用命令行查毒
远程清除机器狗病毒实战
清理专家在手,菜鸟杀毒不愁
如何判断进程或程序是否安全
windows安全漏洞的解释索引
史上最强磁碟机病毒清除思路
金山ARP防火墙1.2版功能简介
Win32.PSWTroj.OnlineGames.tm.65536
病毒名称(中文):
大话西游2盗号者65536
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
65536
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
该病毒是网络游戏《大话西游II》的盗号木马。它运行后会将病毒文件衍生至系统目录下,破坏系统防火墙,然后偷取游戏账号。
1.生成文件.
%Windir%\system32\dhapri.dll
2.生成CLSID组件
HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}
HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}\InprocServer32
Default = "%Windir%\system32\dhapri.dll"
HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}\InprocServer32
ThreadingModel = "Apartment"
3.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{12311A42-AC1B-158F-FD32-5674345F23A1} = "dhapri.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = %Windir%\system32\qhbpri.dll
4.修改以下注册表使Windows自动更新失效.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions
5.修改注册表以下地方使共享文件失去防火墙保护
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
6.在系统盘根目录下生成 DeleteFileDos.bat文件实现自删除功能.
7.病毒会利用消息钩子盗取用户的账号和密码等信息,并以网页提交的方式发送到木马种植者手中.
http://w******2008.hanguoz.com/game40/post.asp
特别提示:上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录,病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异,该显示结果并不必然具备推广适用性。