文件: kdxywg.
exe大小: 359372 字节
修改时间: 2008年7月23日, 17:17:32
MD5: 64AF0CEC9D2CF75770283034EB0C984C
SHA1: 83877B432A1CB4E105C18CB1E8EF386C884CA3F5
CRC32: 2B344324
在Temp\RarSFX0目录下释放loadwg.exe kdxywg.exe kdxywg.txt运行loadwg.exe并调用kdxywg.exe
kdxywg.exe试图删除C:\WINDOWS\system32\verclsid.exe
释放病毒文件:C:\windows\system32\kgfghd.dll
C:\windows\system32\tf0
注册表动作:注册表键: HKCR\CLSID\{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}\InProcServer32
注册表值: (默认)
类型: REG_SZ
值: C:\windows\system32\kgfghd.dll
添加挂钩:HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\
Windows\CurrentVersion\Explorer\ShellExecuteHooks
<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}> <C:\windows\system32\kgfghd.dll>
通过
诱惑用户输入用户名密码病毒利用安装全局钩子kgfghd.dll WH_GETMESSAGE(监控发送到消息队列的消息).WH_MOUSE(监控鼠标).WH_KEYBOARD(监控击键).得到用户的信息连接
网络IP 地址: 210.51.52.186 最终盗取口袋西游用户密码
解决方案:使用360文件粉碎工具删除C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\loadwg.exe
C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.exe
C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.txt
C:\windows\system32\kgfghd.dll
在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks删除<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}>
京公网安备 11010802021500号