关于安天·About Antiy








新闻 ·

电影《黄金甲》热播 木马“黄金甲”偷袭

安天实验室 2007-01-03

   “看《黄金甲》了吗?”

   最近,这句话几乎替代了“吃了吗?”成为人们见面时出现频率最高的问候语。可见,老谋子的《满城尽带黄金甲》以其恢宏的气势、铺天盖地的宣传、强大的明星阵容成为了街头巷尾的热点话题。

   与此同时,网络上也悄然出现了一种中文名为“黄金甲”的木马病毒(英文名为“Trojan-PSW.Win32.Agent.jp”),它们专门盗取玩家的游戏帐号,传播速度极为迅速。该病毒运行后,衍生病毒副本与文件到IE临时目录下,添加注册表自动运行项以随机引导病毒体,且病毒会从指定服务器下载盗号程序。

   中毒后,可能会产生下列病毒图标之一:

  玩家可以用以下方法手工清除该木马或将木马防线2005+升级到最新版本彻底清除。

1、打开“我的电脑”找到“工具”选项进行如下设置,打开查看隐藏文件选项:

2、使用安天木马防线“进程管理”关闭病毒进程

lexplore.exe
iexplo0re.EXE
SVCH0ST.EXE

3、删除病毒释放文件

%Documents and Settings%\当前用户名\Local Settings\Temp\mh1\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings\Temp\mh2\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings\Temp\Wl2\lexplore.exe
%Documents and Settings%\当前用户名\Local Settings\Temp\Zt2\SVCH0ST.exe
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgx.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgl.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgy.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Wlgx.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\ZtgL.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\ZtgQ.dll

4、恢复可能被病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\myMH1键值: 字符串: " %Documents and Settings%
\当前用户名\Local Settings\Temp\mh1\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\myMH2键值: 字符串: " %Documents and Settings%\当前用户名
\Local Settings\Temp\mh2\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\myW12键值: 字符串: " %Documents and Settings%\当前用户名
\Local Settings\Temp\mh2\lexplore.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\myZt2键值: 字符串: " %Documents and Settings%\当前用户名
\Local Settings\Temp\mh2\svch0st.exe"

同时,安天实验室已经及时更新了木马库,用户将木马防线升级至最新版即可彻底清除此木马程序。

详情请见安天实验室 Trojan-PSW.Win32.Agent.jp分析报告

木马防线2005+下载地址:http://www.antiy.com/download/agb5p-cn.exe