pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#1 木马程序 Trojan-PSW.Win32.Agent.ekk
病毒名称
Trojan-PSW.Win32.Agent.ekk
捕获时间
2007年8月6日
病毒症状
该木马程序运行后,在临时文件夹中生成一个文件名为五位随机数字组成的.log文件,如15203.log,在系统目录下生成ntboot.dll文件;将15203.log注入到iexplore.exe和winlogon.exe进程中;将ntboot.dll注册为服务;在注册表HKLM的ShellServiceObjectDelayLoad下新建一子项CdRom,其值为{bfbc1a78-cddd-1672-876e-324d6c4686e9},修改注册表HKCR\CLSID\{bfbc1a78-cddd-1672-876e-324d6c4686e9}\InProcServer32的(Default)的值为ntboot.dll,以达到延时启动的目的。
该木马会监视用户打开的网页,如果是打开的银行或其它要输入帐号密码的网页,就获取网页的窗口名称和用户输入的数据,当成功获取之后通过密码接收网页发送给黑客。
感染对象
Windows NT/ Windows 2000/ Windows XP
传播途径
网页挂马,文件捆绑
安全提示
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理;如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现Trojan-PSW.Win32.Agent.ekk”,请直接选择删除。
使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|