警惕盗号木马Trojan-PSW.Win32.OnLineGames.alsf
该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,衍生病毒文件到系统目录%system32%下;重命名为update.exe(随机病毒名);并加载创建该病毒进程,遍历进程查找是否存在一下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,病毒运行后自我删除,创建注册表病毒服务,映像劫持多款安全软件及调试工具,使系统安全性大大降低,连接网络读取列表下载大量恶意文件到本地运行,经分析下载的文件多为盗号木马,给用户清理带来及大的不便!
清除方案:
1. 使用安天木马防线可彻底清除此病毒(推荐)。
2. 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”关闭病毒相关进程
1. 结束Explorer.exe进程
(2) 强行删除病毒文件
2. %Windir%\update.exe
(3) 删除病毒服务注册表及映像劫持项
3. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\
Root\LEGACY_MHFP\0000\Service]
键值:"vspqnk"
删除vspqnk键值
4. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
键值:"vspqnk"
删除vspqnk键值
5. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
键值:"Image File Execution Options"
删除注册表Image File Execution Options键值
相关链接参见:
http://www.antiy.com/security/report/20080604.htm
