Trojan-PSW.Win32.Online Games.rxtw

Trojan-PSW.Win32.Online Games.rxtw 这个是专盗网络游戏帐号密码的特洛伊木马、

木马PSW.Win32.OnLineGames.kcw分析

【IT专家网独家】病毒名称： Trojan-PSW.Win32.OnLineGames.kcw

病毒类型： 木马

文件 MD5： 0093bd7d51cf1e7a9b4a51630cf30fd1

文件长度： 52,529 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： ASPack 2.12 -> Alexey Solodovnikov [Overlay]

病毒描述：

该病毒属木马类，病毒运行后复制自身到%Windir%目录下，并在该目录下衍生病毒文件，并将衍生的病毒文件插入到explorer.exe进程中，可以获取用户帐号、密码、仓库密码、装备、元宝等相关信息。修改注册表添加启动项，病毒运行完毕后，删除自身。

行为分析：

本地行为:

1、文件运行后会释放以下文件

%WinDir%192896WL.DLL 44,337 字节

%WinDir%192896L.exe 52,529 字节

2、新增注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值: "WinSysW"

类型： REG_SZ

值： "C:\WINDOWS\192896L.exe"

描述:启动项，随系统的启动而运行，任务管理器中可