特洛伊病毒Win32.RewzaqFamily

编辑:大楼网互动百科 时间:2020-01-25 13:04:34
编辑 锁定
Win32/Rewzaq是特洛伊病毒,能够盗窃与"Eudemons Online"网络游戏相关的敏感信息,还会下载并运行任意文件
中文名
特洛伊病毒Win32.RewzaqFamily
病毒属性
特洛伊木马
危害性
中等危害
目    录
winlogin.exe

特洛伊病毒Win32.RewzaqFamily常见的名称

编辑
灰鸽子,冰河,蓝剑
W32/Agent.BNZ (F-Secure), Troj/Bckdr-PUS (Sophos), Trojan, Infostealer.JiangHu (Symantec), Win32/Rewzaq.F, Backdoor.Win32.Agent.ajq (Kaspersky)

特洛伊病毒Win32.RewzaqFamily病毒属性

编辑
特洛伊木马

特洛伊病毒Win32.RewzaqFamily危害性

编辑
中等危害

特洛伊病毒Win32.RewzaqFamily具体介绍

编辑

特洛伊病毒Win32.RewzaqFamily感染方式

运行时,Win32/Rewzaq生成以下文件到%System%

特洛伊病毒Win32.RewzaqFamily目录

userspi.dll Security.exe

特洛伊病毒Win32.RewzaqFamily

'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。 "Security.exe"文件作为一个服务安装: Service Name: ServerAC Display Name: Server Advance Service Description: Appears in Chinese text and translates to "Provide local users advanced protection mechanism" Path to Executable: %System%\Security.exe Startup Type: Automatic "winlogin.exe"文件注入一个很小的代码到"explorer.exe"程序,用来设置一个"THREVENT",为了与其它的生成程序相通。如果这个文件被删除,特洛伊会再次生成它。

特洛伊病毒Win32.RewzaqFamily危害

编辑
盗窃敏感信息 特洛伊盗窃敏感信息,例如与中国的网络游戏"Eudemons Online"的注册信息和游戏人物信息。它查找名为"soul.exe"的进程,列举与这个游戏相关的特定的中文窗口。
特洛伊可能盗窃以下信息: 游戏帐户的用户名和密码; 游戏人物的职业; 人物拥有的金钱数量; 人物的级别。 随后将这些信息发送到特定域的一个网站,可能是以下中的一个: 下载并运行任意文件 Win32/Rewzaq能够从一个特定的域下载并运行一个文件。从m域下载并运行一个文件%Temp%\temp.exe。 注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下位置:"C:\Documents and Settings\<username>\Local Settings\Temp",或 "C:\WINDOWS\TEMP"。

特洛伊病毒Win32.RewzaqFamily清除

编辑
KILL安全胄甲最新版本可检测/清除此病毒。
1、 由于这个种木马带有生成伪装系统文件,所以给手动删除造成迷惑,故需要十分小心判认。
2、 此木马会通过系统保护项重复生成感染。
3、 此木马也可能会在C:\Documents and Settings\系统用户名\Local Settings\Temp\生成1.exe、2.exe等可执行文件进行破坏exe关联。
4、 中毒后,病毒修改了系统执行关联,控制不能执行.exe的命令,重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件Program Files\Internet Explorer\,故上网时不能直接使用IE执行,有存在也要先删除。

特洛伊病毒Win32.RewzaqFamily解决步骤

编辑
1、 开机启动时按F8,选择带网络的安全模式进入,打开我的电脑,从工具->文件夹选项,在查看中,勾选[显示系统文件夹的内容],去掉勾选 [隐藏受保护的操作系统文件]的勾。选择[显示所有文件],去掉隐藏已知的后缀名。  然后到以上描棕的文件夹里,把相应的病毒文件删除。  如果不能正确判断文件是否系统文件还是伪系统文件,可以下载最新的木马分析专家扫描分析,会列出这些文件名,然后用他的病毒文件定位,把它们一一删除。
2、 在资源管理器的地址栏上直接输入:  C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\ C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\  C:\Documents and Settings\系统用户名\Local Settings\Temp\  这三个临时文件夹中的文件全部直接删除。
3、 连接上网络,在资源管理器的地址栏上直接输入: 然后在IE修复的高级修复中,通过扫描出来后,把所有未知的勾上,然后点立即修复,完成后,到IE修复的保护IE,启动保护中,把保护系统启动项勾选,把启动项保护起来。
4、 在雅虎助手的IE修复的编辑Hosts表,发现有IP,后面的网址的话,把前面的IP改为127.0.0.1 ,然后点击立即保存,重新启动计算机。
5、 重启系统后,用杀病毒软件(保持最新的病毒特征库)进行完全查杀病毒。
词条标签:
计算机学 病毒