返回主页 | 在线帮助 | 留言本

序号 ID 瑞星命名 江民命名 金山命名 Kaspersky命名 报告日期 点击查看
1 121 trojan.psw.win32.gameol.opy /psw.olinegames.aikh win32.troj.olinegamest.ny.102456 trojan-gamethief.win32.onlinegames.sasu 2008-10-26 查看
2 120 trojan.win32.undef.qgo trojandownloader.adload.lp win32.pswtroj.olinegames.98304 trojan-gamethief.win32.onlinegames.tbdi 2008-10-26 查看
3 119 worm.win32.autorun.evz trojandownloader.vb.kyd 未知病毒 trojan-downloader.win32.vb.hss 2008-10-26 查看
4 118 worm.pabug.co trojan/psw.agent.cdg win32.troj.pswqq.jh.38498 trojan-psw.win32.qqpass.jh 2008-08-31 查看
5 117 worm.win32.agent.zhh worm/delf.ny win32.trojdownloader.agent.57856 worm.win32.autorun.bkv 2008-01-08 查看
6 116 trojan.psw.win32.gamesonline.fe trojan/psw.onlinegames.pli win32.troj.onlinegames.xz.17069 trojan-psw.win32.onlinegames.mzj 2008-01-08 查看
7 115 trojan.psw.win32.gameol.ldn trojan/psw.onlinegames.mdu win32.troj.onlinegames.sz.19477 trojan-psw.win32.onlinegames.neb 2008-01-08 查看
8 114 trojan.psw.win32.gameol.ibc trojan/psw.onlinegames.pkp win32.troj.onlinegeames.mu.16767 trojan-psw.win32.onlinegames.mux 2008-01-08 查看
9 113 trojan.psw.win32.gameol.lcx trojan/psw.onlinegames.psn 2008年1月8日未知 trojan-psw.win32.onlinegames.ndn 2008-01-08 查看
10 112 trojan.psw.win32.gameol.lch trojan/psw.onlinegames.mdu 2008年1月8日未知 trojan-psw.win32.onlinegames.nbm 2008-01-08 查看

共有 121条记录 共有 13 页 当前是 1 页 第一页 上一页 下一页 最后一页  跳到第
trojan-gamethief.win32.onlinegames.sasu
中文名称: 病毒类型:特洛伊木马 病毒长度:16575 加入时间:2008-10-26
CRC32值:3e19a0f8 MD5值:2d9ccda2827593e903e6dd721d9ec46a
kaspersky 命名:trojan-gamethief.win32.onlinegames.sasu 瑞星命名:trojan.psw.win32.gameol.opy
江民命名:/psw.olinegames.aikh 金山命名:win32.troj.olinegamest.ny.102456
其他命名:
TAG关键字:aoqnabib.sys;skqnebib.dll;dfqnabib.exe
备 注: 资料来源:maicaidao
病毒行为及清除办法:

一、病毒描述:
 该病毒为盗取网络游戏千年3帐号信息木马。该病毒运行后自制自身到
%System32%下,同时衍生病毒文件到%System32%下,并把文件aoqnabib.sys  aoqnabib.sys  skqnebib.dll  属性设置为隐藏,修改创建时间为2004-8-8。修改注册表,注册CLSID值,添加HOOK项。在%TEMP%目录下衍生.bat文件,目地是当病毒运行完后删除源病毒文件。


三、 行为分析:
本地行为:
1、病毒文件运行后衍生以下文件
%System%32\aoqnabib.sys                520 字节
%System32%\dfqnabib.exe                16,575 字节
%System32%\skqnebib.dll                535,048 字节
%System32%\toqnabib.sys                24 字节
%TEMP%\~DFD2578015.bat                145 字节
2、新增注册表
HKCR\CLSID\{52023698-6984-8541-9654-698745012525}\InprocServer32
注册表值:@
类型: REG_SZ
值:C:\WINDOWS\system32\skqnebib.dll
描述:注册CLSID值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表值:{52023698-6984-8541-9654-698745012525}
类型: REG_SZ
值:skqnebib.dll
描述:将病毒文件ID号添加到HOOK项中,使explorer.exe进程自动加载病毒文件。

修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows\AppInit_DLLs]
新: 字符串: "skqnebib.dll"
旧: 字符串: ""
描述:程序初使化时加载DLL

3、把病毒文件aoqnabib.sys    dfqnabib.exe     skqnebib.dll属性设置为隐藏,修改创建时间为2004-8-8。

4、在%TEMP%下衍生.bat文件对源文件进行删除。内容为
@echo off
:Loop
attrib "文件名路径" -r -a -s -h
del "文件名路径"
if exist "文件名路径" goto Loop
del %0


注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。%Temp%  = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\               WINDODWS所在目录
%DriveLetter%\            逻辑驱动器根目录
%ProgramFiles%\            系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\    当前用户文档根目录

清除方案:
2、手动清除:
 (1)删除病毒文件
%System%32\aoqnabib.sys                    520 字节
%System32%\dfqnabib.exe                16,575 字节
%System32%\toqnabib.sys                24 字节
强制删除病毒文件
%System32%\skqnebib.dll                535,048 字节
(2)删除注册表项
HKCR\CLSID\{52023698-6984-8541-9654-698745012525}\InprocServer32
注册表值:@
类型: REG_SZ
值:C:\WINDOWS\system32\skqnebib.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表值:{52023698-6984-8541-9654-698745012525}
类型: REG_SZ
值:skqnebib.dll
修复注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows\AppInit_DLLs]
新: 字符串: "skqnebib.dll"
旧: 字符串: ""

截止目前共有12140人访问过此页面

我们希望有时间、有能力的朋友能加入检索系统的建设中来,我们也希望这套系统能帮助更多的人,如需加入请发送邮件到antivirusfans@126.com。