inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法
作者:
inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法
木马Trojan-PSW.Win32.Magania.cjy
inst.exe,Setup.exe
Backdoor/Agent.apnf
病毒名称: Trojan-PSW.Win32.Magania.cjy
病毒类型: 木马
江民杀毒 10.00.650 Backdoor/Agent.apnf 1.395
NOD32 2.70.10 a variant of Win32/PSW.OnLineGames.NFF trojan 4.185
该病毒为玛格尼亚病毒的新变种,释放一个DLL通过挂钩和内存截获来盗取网络游戏的帐号密码。运行之后将释放一些AV图片并打开,再释放病毒到Program Files与WINDOWS\Help目录下。
行为分析
运行以后释放文件:
c:\Program Files\inst.exe
Date: 11-29-2007 11:00 PM
Size: 103,163 bytes
c:\Program Files\inst.txt
Date: 11-29-2007 10:44 PM
Size: 0 bytes
c:\Program Files\Setup.exe
Date: 12-28-2007 2:41 PM
Size: 76,388 bytes
c:\Program Files\MyPic\2006924192650605.jpg
Date: 7-19-2007 6:28 AM
Size: 7,613 bytes
c:\Program Files\MyPic\2006924192732323.jpg
Date: 7-19-2007 6:28 AM
Size: 7,649 bytes
c:\Program Files\MyPic\2006924192810432.jpg
Date: 7-19-2007 6:28 AM
Size: 7,598 bytes
c:\Program Files\MyPic\2006924192810821.jpg
Date: 7-19-2007 6:28 AM
Size: 13,258 bytes
c:\Program Files\MyPic\2006924192810918.jpg
Date: 7-19-2007 6:28 AM
Size: 7,702 bytes
c:\WINDOWS\1.bat
Date: 1-4-2008 1:06 PM
Size: 96 bytes
c:\WINDOWS\Help\F3C74E3FA248.dll
Date: 1-4-2003 1:06 PM
Size: 60,928 bytes
c:\WINDOWS\Help\F3C74E3FA248.exe
Date: 12-28-2007 2:41 PM
Size: 76,388 bytes
图片均为AV图片。
释放问后运行
c:\WINDOWS\Help\F3C74E3FA248.dll
c:\WINDOWS\Help\F3C74E3FA248.exe
盗取游戏帐号密码。
建立服务进行开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks "{1DBD6574-D6D0-4782-94C3-69619E719765}"
Type: REG_SZ
Data: c:\WINDOWS\Help\F3C74E3FA248.dll
解决方案:
删除文件:
c:\Program Files\inst.exe
c:\Program Files\inst.txt
c:\Program Files\Setup.exe
c:\Program Files\MyPic\2006924192650605.jpg
c:\Program Files\MyPic\2006924192732323.jpg
c:\Program Files\MyPic\2006924192810432.jpg
c:\Program Files\MyPic\2006924192810821.jpg
c:\Program Files\MyPic\2006924192810918.jpg
c:\WINDOWS\1.bat
c:\WINDOWS\Help\F3C74E3FA248.dll
c:\WINDOWS\Help\F3C74E3FA248.exe
删除注册表服务启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks\{1DBD6574-D6D0-4782-94C3-69619E719765}
inst.exe,Setup.exe
Backdoor/Agent.apnf
病毒名称: Trojan-PSW.Win32.Magania.cjy
病毒类型: 木马
江民杀毒 10.00.650 Backdoor/Agent.apnf 1.395
NOD32 2.70.10 a variant of Win32/PSW.OnLineGames.NFF trojan 4.185
该病毒为玛格尼亚病毒的新变种,释放一个DLL通过挂钩和内存截获来盗取网络游戏的帐号密码。运行之后将释放一些AV图片并打开,再释放病毒到Program Files与WINDOWS\Help目录下。
行为分析
运行以后释放文件:
c:\Program Files\inst.exe
Date: 11-29-2007 11:00 PM
Size: 103,163 bytes
c:\Program Files\inst.txt
Date: 11-29-2007 10:44 PM
Size: 0 bytes
c:\Program Files\Setup.exe
Date: 12-28-2007 2:41 PM
Size: 76,388 bytes
c:\Program Files\MyPic\2006924192650605.jpg
Date: 7-19-2007 6:28 AM
Size: 7,613 bytes
c:\Program Files\MyPic\2006924192732323.jpg
Date: 7-19-2007 6:28 AM
Size: 7,649 bytes
c:\Program Files\MyPic\2006924192810432.jpg
Date: 7-19-2007 6:28 AM
Size: 7,598 bytes
c:\Program Files\MyPic\2006924192810821.jpg
Date: 7-19-2007 6:28 AM
Size: 13,258 bytes
c:\Program Files\MyPic\2006924192810918.jpg
Date: 7-19-2007 6:28 AM
Size: 7,702 bytes
c:\WINDOWS\1.bat
Date: 1-4-2008 1:06 PM
Size: 96 bytes
c:\WINDOWS\Help\F3C74E3FA248.dll
Date: 1-4-2003 1:06 PM
Size: 60,928 bytes
c:\WINDOWS\Help\F3C74E3FA248.exe
Date: 12-28-2007 2:41 PM
Size: 76,388 bytes
图片均为AV图片。
释放问后运行
c:\WINDOWS\Help\F3C74E3FA248.dll
c:\WINDOWS\Help\F3C74E3FA248.exe
盗取游戏帐号密码。
建立服务进行开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks "{1DBD6574-D6D0-4782-94C3-69619E719765}"
Type: REG_SZ
Data: c:\WINDOWS\Help\F3C74E3FA248.dll
解决方案:
删除文件:
c:\Program Files\inst.exe
c:\Program Files\inst.txt
c:\Program Files\Setup.exe
c:\Program Files\MyPic\2006924192650605.jpg
c:\Program Files\MyPic\2006924192732323.jpg
c:\Program Files\MyPic\2006924192810432.jpg
c:\Program Files\MyPic\2006924192810821.jpg
c:\Program Files\MyPic\2006924192810918.jpg
c:\WINDOWS\1.bat
c:\WINDOWS\Help\F3C74E3FA248.dll
c:\WINDOWS\Help\F3C74E3FA248.exe
删除注册表服务启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks\{1DBD6574-D6D0-4782-94C3-69619E719765}
您可能感兴趣的文章:
- python使用win32com在百度空间插入html元素示例
- win32使用openfilename浏览文件窗口示例
- python字符串加密解密的三种方法分享(base64 win32com)
- 如何使一个HTA位于屏幕中心(Win32_DesktopMonitor)
- c#用Treeview实现FolderBrowerDialog 和动态获取系统图标(运用了Win32 dll类库)
- WMI中的Win32_PingStatus类(ping命令实现)
- nginx win32 版本静态文件测试 (Windows环境)
- win32安装配置非安装版的MySQL
- iis Win32状态数值(sc-win32-status)说明
- PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除
- Worm.Win32.AutoRun.bqn病毒分析解决
- Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
- 木马程序Trojan-Spy.Win32.Agent.cfu清除方法
- MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决
- 木马下载器Win32.TrojDownloader.Delf.114688
- recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法
- Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法
- win32 api实现简单的消息窗口示例