文件名称:raqjmtl.exe
文件大小:16018 byte
AV命名:
Trojan-PSW.Win32.OnLineGames.oex(卡巴斯基)
Win32.Troj.AgentT.fm.14452(金山)
Trojan.PSW.Win32.GameOL.lhu(瑞星)
加壳方式:Upack
编写语言:Delphi
文件MD5:5a52d17e5b12163f49e5d9defc078636
病毒类型:盗号木马
行为:
1、 释放病毒副本:
首先在Fonts目录以比较字符串方式判断raqjmtl.exe和raqjmni.dll是否已经存在
C:\WINDOWS\Fonts(字体文件夹,红桃jacker备注)\raqjmtl.exe
C:\windows\Fonts\raqjmni.dll
2、 raqjmni.dll加入注册表,开机注入Explorer:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Registry value: {D4783410-4F90-34A0-7820-3230ACD05F4D}
Type: REG_SZ
Value: raqjmpi.dll
3、 释放P处理,删除文件:
%Systemroot%\System32\verclsid.exe
4、 注入Explorer,每隔几毫秒检测新进程启动,并将raqjmpi.dll插入。
5、 如果启动的进程为sungame.exe、TQAT.exe,则结束。
6、 然后在用户重启游戏的时候,raqjmpi.dll则记录它的帐号和密码的输入操作。
最后发送至外部,完成盗号过程。
7、 病毒的其他工作:
(1)禁用系统自动更新和防火墙
(2)每隔3毫秒检测自身注册表,如果不在则重新生成。
(3)完全释放后删除旧体,毁尸灭迹。
解决方法:
1、 下载PowerRmv(可到down.45it.com下载),后断开网络。
2、 打开PowerRmv,填入下面内容后,选上“抑制杀灭对象生成”并确定:
C:\windows \Fonts\raqjmtl.exe
C:\windows\Fonts\raqjmni.dll
PS:如果是2000/NT系统的话,换成C:\winnt\
3、 重启计算机,打开注册表或用SREng(可到down.45it.com下载),删除:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
下的D4783410-4F90-34A0-7820-3230ACD05F4D
4、 及时修改网游密码!
资料来源
http://www.pc120.net.cn/home/faw/113719443.htm
