Trojan-PSW.Win32.OnLineGames.qq分析

病毒标签：

病毒名称： Trojan-PSW.Win32.OnLineGames.qq
病毒类型： 木马
文件 MD5： 0D642D9F33B04F1539B17907A428D1C8
公开范围： 完全公开
危害等级： 5
文件长度： 18,432 字节
感染系统： windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： 无
命名对照： Avast! [  Win32:OnLineGames-DC ]

病毒描述：

　　该病毒属木马类，病毒运行后衍生病毒文件到系统目录下，修改注册表，添加启动项，以达到随机启动的目的，病毒衍生文件 mppds.dll 插入到系统进程 explorer.exe 中，尝试终止部分反病毒软件，跳过瑞星注册表监控，监控 gameclient.exe 进程，从而盗取用户浩方对战平台的账号与密码。

行为分析：

 1 、病毒运行后衍生病毒文件到系统目录下：

　　　　%WINDIR%\mppds.exe
　　　　%system32%\mppds.dll

2 、修改注册表，添加启动项，以达到随机启动的目的：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　　键值 : 字串 : "mppds"="C:\WINDOWS\mppds.exe"

3 、病毒衍生文件 mppds.dll 插入到系统进程 explorer.exe 中：

　　　　mppds.dll

4 、 尝试终止部分反病毒软件，跳过瑞星注册表监控：

　　　　AVP.ALERTDIALOG
　　　　AVP.Product_Notification
　　　　瑞星注册表监控

5 、 监控 gameclient.exe 进程，从而盗取用户浩方对战平台的账号与密码：

　　　　gameclient.exe

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。

Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

清除方案：

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1) 使用 安天木马防线 “进程管理”关闭病毒进程：
　　　　　　　explorer.exe
　 　 (2) 删除病毒文件：
　　　　　　　%WINDIR%\mppds.exe
　　　　　　　%system32%\mppds.dll
　 　 (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
　　　　　　　Windows\CurrentVersion\Run
　　　　　　　键值 : 字串 : "mppds"="C:\WINDOWS\mppds.exe"

（出处：清风网络学院）