Win32.PSWTroj.OnlineGames.14100
Win32.PSWTroj.OnlineGames.14100是一个网游盗号木马,盗取网游《破天一剑》的帐号密码,禁用Windows自动更新。通过ShellExecuteHooks随系统explorer.exe进程启动,并且连接网络下载病毒,盗取用户帐号。
基本信息
- 中文名
Win32.PSWTroj.OnlineGames.14100
- 类型
病毒
- 目的
盗取网游《破天一剑》的帐号密码
- 病毒行为
添加到CLSID
基本内容
病毒行为:
1.木马运行后,产生以下文件:
%windows%\Fonts\enpoafx.fon
%system32%\kapjacs.dll
%system32%\kapjbaz.exe
%system32%\kapjbzy.dll
2.添加到CLSID,通过ShellExecuteHooks启动,禁用windows自动更新:
HKEY_CLASSES_ROOT\CLSID\{2A321487-4977-D98A-C8D5-6488257545A2},
指向%system32%\kapjbzy.dll文件
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2A321487-4977-D98A-C8D5-6488257545A2},
指向%system32%\kapjbzy.dll文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {2A321487-4977-D98A-C8D5-6488257545A2} "kapjbzy.dll"
随系统启动。
禁用自动更新的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU NoAutoUpdate dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU AUOptions dword:00000001