;病毒標簽:
病毒名稱:Trojan-GameThief.Win32.XiaJian.k
病毒別名:xiajian大盜
病毒類型:木馬類
危害級別:3
感染平台:Windows
病毒大小:21,504 字節
S H A 1 :e9c284e0b4eb5e9f9ae0908cd1830306a2d6b856
加殼類型:無殼
開發工具:Microsoft Visual C++ 6.0
病毒行為:
1、拷貝病毒體到以下文件夾,並調用WinExec運行該文件後刪除病毒文件:
%System%hi.exe(21,504 字節)
2、釋放病毒dll文件到以下文件夾,並調用Rundll.exe來執行該病毒文件:
%System%di6ic2ug.dll(17,000 字節)(隨機名)
3、添加以下注冊表鍵值,達到隨機啟動的目的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
數值名稱:AppInit_DLLs
數值數據:di6ic2ug.dll(隨機名)
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerShellExecuteHooks
數值名稱:{CB4369B6-F362-4e68-8786-0895D86C9D7A}
數值數據:di6ic2ug.dll(隨機名)
4、添加以下注冊表項和鍵值,創建鉤子來竊取密碼:
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32
數值名稱:""
數值數據:di6ic2ug.dll(隨機名)
數值名稱:ThreadingModel
數值數據:Apartment
解決方案
手工清除方法:
1、刪除病毒釋放的文件:
打開超級巡警工具箱,選擇【擴展功能】,從【文件浏覽器】中找到以下文件,在文件上右鍵暴力刪除:
%System%di6ic2ug.dll(17,000 字節)(隨機名)
2、重啟電腦後,刪除以下注冊表項或注冊表鍵值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
數值名稱:AppInit_DLLs
數值數據:di6ic2ug.dll(隨機名)
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerShellExecuteHooks
數值名稱:{CB4369B6-F362-4e68-8786-0895D86C9D7A}
數值數據:di6ic2ug.dll(隨機名)
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}
HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32
數值名稱:""
數值數據:di6ic2ug.dll(隨機名)
數值名稱:ThreadingModel
數值數據:Apartment