查杀:Trojan-Downloader.Win32.Agent.jkb

Simen.Resh@d

作者：孤独更可靠

文件名称：SysWFGwd2.dll文件大小：22711 byte
AV命名：
Trojan-Downloader.Win32.Agent.jkb 卡巴斯基
Trojan.DownLoader.origin Dr.WEB
Trojan.PSW.Win32.GameOL.mbm 瑞星

加壳方式：Upack

编写语言：Delphi

文件MD5：0fc2f3525537c2bc7a2c88fbc25706ec

病毒类型：木马
行为：
1、释放病毒文件：
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGwd2.dll, 29733 字节
2、未见添加启动项。
3、连接网络222.172.81.30，获得下载列表：hxxp://qq.90356.com.cn/22/dl.txt
下载：
http://qq.90356.com.cn/22/hxxxz.exe

http://74.5460w.cn/yx/11.exe

http://74.5460w.cn/yx/12.exe

http://74.5460w.cn/yx/13.exe

http://74.5460w.cn/yx/14.exe

http://74.5460w.cn/yx/15.exe

http://74.5460w.cn/yx/16.exe

http://74.5460w.cn/yx/17.exe

http://74.5460w.cn/yx/18.exe

http://74.5460w.cn/yx/19.exe

http://74.5460w.cn/yx/20.exe

http://74.5460w.cn/yx/21.exe

http://74.5460w.cn/yx/22.exe

http://74.5460w.cn/yx/23.exe



测试时未实现
5、注入Explorer,查找一些网游登入窗口和进程并注入。以读取内存方式记录密码帐号。
6、硬编码方式查找卡吧：
:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
和____AVP.Root和AVP.Tray的窗口。
如果找到了就修改系统时间。
7、添加注册表：
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
延迟删除VerCLSID.exe和VerCLSID.bak
8、释放P处理xr.bat删除原载体。
解决方法：
1、下载Unlocker并安装
2、转到C:\Program Files\Common Files\Microsoft Shared\MSInfo
右键解锁SysWFGwd2.dll
3、删除SysWFGwd2.dl。
4、修改QQ、网游等密码。




[ 本帖最后由 Simen.Resh@d 于 2008-3-7 00:14 编辑 ]