[原创]木马“黄金甲”继电影热播后偷袭网络

[watermark]原创:木马“黄金甲”继电影热播后偷袭网络
   
   “看《黄金甲》了吗？”
    最近，这句话几乎替代了“吃了吗？”成为人们见面时出现频率最高的问候语。可见，老谋子的《满城尽带黄金甲》以其恢宏的气势、铺天盖地的宣传、强大的明星阵容成为了街头巷尾的热点话题。
    与此同时，网络上也悄然出现了一种中文名为“黄金甲”的木马病毒（英文名为“Trojan-PSW.Win32.Agent.jp”），它们专门盗取玩家的游戏帐号，传播速度极为迅速。该病毒运行后，衍生病毒副本与文件到IE临时目录下，添加注册表自动运行项以随机引导病毒体，且病毒会从指定服务器下载盗号程序。
    玩家可以用以下方法手工清除该木马或将木马防线2005+升级到最新版本彻底清除。
(1)打开“我的电脑”找到“工具”选项进行如下设置，打开查看隐藏文件选项：选择“显示所有文件和文件夹”，勾除“隐藏已知文件类型的扩展名”。
(2)使用安天木马防线“进程管理”关闭病毒进程
lexplore.exe
iexplo0re.EXE
SVCH0ST.EXE
(3)删除病毒释放文件
%Documents and Settings%\当前用户名\Local Settings\Temp\mh1\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings\Temp\mh2\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings\Temp\Wl2\lexplore.exe
%Documents and Settings%\当前用户名\Local Settings\Temp\Zt2\SVCH0ST.exe
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgx.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgl.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgy.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Wlgx.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\ZtgL.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\ZtgQ.dll
(4)恢复可能被病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myMH1       键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh1\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myMH2      键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myW12     键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\lexplore.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myZt2     键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\svch0st.exe"
   
    同时，安天实验室已经及时更新了木马库，用户将木马防线升级至最新版即可彻底清除此木马程序。
详情请见安天实验室Trojan-PSW.Win32.Agent.jp分析报告
地址:http://www.antiy.com/security/report/20070103.htm
木马防线2005+下载地址：http://www.antiy.com/download/agb5p-cn.exe
[/watermark]