木马群典型病毒Trojan.PSW.Win32.Mapdimp.a分析报告--瑞星反病毒资讯网 [信息安全 源自瑞星]

>>搜索 语言ENGLISHDEUTSCH

首页 产品 下载 服务 论坛
数据恢复中心 专杀工具 病毒上报 免费查毒 病毒查询 病毒疫情监测网
业内动态 病毒威胁 安全知识 热点专题 一周回顾
瑞星产品 网安产品
销售与渠道 单机版在线订购 下载版在线订购 网络版在线订购
安装程序 专杀工具 产品操作演示 产品新功能演示
企业客服中心 紧急救援 数据恢复 培训认证 问题解答 升级向导 邮件服务 服务加盟
反病毒/反流氓软件 产品求助 技术交流 休闲娱乐
瑞星通行证


当前位置：瑞星首页 > 病毒频道 > 瑞星病毒技术分析报告 > 正文
木马群典型病毒Trojan.PSW.Win32.Mapdimp.a分析报告
来源：瑞星公司 时间：2008-06-18 15:06:49
病毒分析：
病毒采用Delphi编写，upack0.39加壳。
病毒运行后有以下行为：
1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。
我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap??.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap??.dll和midimap??.dat是成对出现的才是病毒) 图1

（图1）
2.病毒还会修改注册表信息达到开机被自动加载的目的。
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll文件
开始-运行-输入regedit 打开注册表编辑器展开：
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
然后在下面查找有无{4F4F0064-71E0-4f0d-0018-708476C7815F}的子键
如果有展开该子键，此时我们会看到该子键指向了病毒文件%systemroot%system32midimap??.dll 图2

（图2）
如果这时看到的midimap??.dll文件名和刚才搜索到的文件相同，则证明中毒了。图3

（图3）
3.另外，熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的线程里面是否有midimap??.dll 图4

（图4）
4.病毒运行后会访问黑客指定的网址下载其他木马病毒，盗取网游账号，并将盗取的信息在后台发送给黑客，使网游玩家的利益受损。
手动处理方法：
第一步，删除病毒文件：
使用wsyscheck工具，文件管理，进入系统目录（默认为c:windowssystem32）找到midimap??.dll和midimap??.dat文件，在文件上面点击右键，选择“发送到重启删除列表中”。
第二步，删除被病毒修改的注册表键值：
1、使用wsyscheck工具或使用注册表编辑器，删除以下键值内容：
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{4F4F0064-71E0-4f0d-0018-708476C7815F}的值“c:windowssystem32midimap??.dll”
2、重启计算机。
相关文章“梅勒斯变种KG”病毒技术细节 “重写器变种M”病毒技术细节 “VB木马点击器变种ZXY”病毒技术细节 “VB木马下载器变种YSE”病毒技术细节

直接浏览

Wap推荐: 倚天屠龙尽在仙游记 静谧长夜-犹是情歌 极品游戏大作