科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道木马群典型病毒Trojan.PSW.Win32.Mapdimp.a分析报告

木马群典型病毒Trojan.PSW.Win32.Mapdimp.a分析报告

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒采用Delphi编写,upack0.39加壳。 病毒运行后有以下行为:1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。

作者:ZDNet安全频道 来源:ZDNet安全频道 2008年6月19日

关键字: Flash漏洞技巧 Flash漏洞 木马群病毒 木马群

  • 评论
  • 分享微博
  • 分享邮件

病毒分析:

    病毒采用Delphi编写,upack0.39加壳。

病毒运行后有以下行为:

    1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。

    我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap??.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap??.dll和midimap??.dat是成对出现的才是病毒) 图1

 
(图1)

    2.病毒还会修改注册表信息达到开机被自动加载的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll文件

    开始-运行-输入regedit 打开注册表编辑器展开:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    然后在下面查找有无{4F4F0064-71E0-4f0d-0018-708476C7815F}的子键
    如果有展开该子键,此时我们会看到该子键指向了病毒文件%systemroot%\system32\midimap??.dll  图2


(图2)

    如果这时看到的midimap??.dll文件名和刚才搜索到的文件相同,则证明中毒了。图3


(图3)

    3.另外,熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的线程里面是否有midimap??.dll 图4


(图4)

    4.病毒运行后会访问黑客指定的网址下载其他木马病毒,盗取网游账号,并将盗取的信息在后台发送给黑客,使网游玩家的利益受损。

手动处理方法:

    第一步,删除病毒文件:

    使用wsyscheck工具,文件管理,进入系统目录(默认为c:\windows\system32)找到midimap??.dll和midimap??.dat文件,在文件上面点击右键,选择“发送到重启删除列表中”。

    第二步,删除被病毒修改的注册表键值:

    1、使用wsyscheck工具或使用注册表编辑器,删除以下键值内容:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F}的值“c:\windows\system32\midimap??.dll”

    2、重启计算机。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章