Trojan-PSW.Win32.OnLineGames.cbey

盗号木马Trojan-PSW.Win32.OnLineGames.cbey被执行后，在系统目录%SystemRoot%system32下释放文件“cliconfgzx.dll”，遍历进程查找“ElementClient.exe”，如果存在将其打开后强制结束。修改如下注册表健值，使得“explorer.exe”及其子进程启动时自动加载动态库“cliconfgzx.dll”，病毒通过批处理执行自删除。

项：HKLM\SOFTWARE\Classes\CLSID\{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}\InProcServer32
指向数据：%SystemRoot%\system32\cliconfgzx.dll

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell\ExecuteHooks
键值：{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}
指向数据为空

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell\ServiceObjectDelayLoad
键值：cliconfgzx.dll
指向数据：{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}

动态库“cliconfgzx.dll”加载运行后，查找进程“360Tray.exe”，找到试图进行强制结束；cliconfgzx.dll调用API函数“SetWindowsHookExA”设置全局钩子试图将动态库“cliconfgzx.dll”注入到所有进程中；后枚举窗口查找网络游戏“诛仙”的登录窗口，通过监视“鼠标”、“键盘”消息来获取“诛仙”的“帐号”、“密码”，以“收信空间”的方式将木马所截获信息发送至空间“http://xcloud.a***.zgsj.net/wesd/recvd.asp” 。

安全提示

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理；