原文：[url]http://www.antiy.com/security/report/20071019.htm[/url]

病毒標(biāo)簽：
	病毒名稱： Trojan-PSW.Win32.OnLineGames.dxf 中文名稱： 游戲大盜 病毒類型： ***類 文件 MD5： 53524DF08966CB17A07A4226F2624E7C 公開范圍： 完全公開 危害等級： 4 文件長度： 脫殼前45,666 字節(jié)，脫殼后147,456 字節(jié) 感染系統(tǒng)： Windows9x以上版本 開發(fā)工具： Borland Delphi 6.0 - 7.0 加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
病毒描述：
	該病毒運行后，衍生病毒副本到程序目錄下，添加注冊表hook項以引導(dǎo)病毒體。設(shè)置 鉤子函數(shù)劫獲相關(guān)進(jìn)程消息，發(fā)送到病毒作者指定頁面，以盜取用戶游戲賬號信息。由于 病毒只是簡單的套用一個模式獲取游戲信息，所以并不是對每一款游戲都有效。

行為分析：
	本地行為： 1、文件運行后會衍生副本： %Program Files%\Common Files\Microsoft Shared 　　　　\MSINFO\SysInfo1.dll 　　　　 2、新增注冊表： 　　　　 　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 　　　　\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}\InProcServer32\@ 　　　　Value: String: "C:\Program Files\Common Files 　　　　\Microsoft Shared\MSINFO\SysInfo1.dll" 　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 　　　　\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2} 　　　　\InProcServer32\ThreadingModel 　　　　Value: String: "Apartment" 　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 　　　　\CurrentVersion\Explorer\ShellExecuteHooks 　　　　\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2} 　　　　Value: String: """ 3、主要hook下列進(jìn)程，劫獲敏感信息發(fā)送到指定頁面： 　　　　 　　　　 　　　　elementclient.exe 　　　　《完美世界》 　　　　asktao.mod 　　　　　　　 《問道》 　　　　bo.exe 　　　　　　　　　 《刀劍OL》 　　　　woool.dat 　　　　　　　　《傳奇世界》 　　　　main.exe 　　　　　　　　 《奇跡》 　　　　kartrider.exe 　　　　　　《跑跑卡丁車》 　　　　audition.exe 　　　　　　 《勁舞團》 　　　　_autopatch.exe 　　　　　 《魔域》 　　　　ca.exe 　　　　　　　　　 《泡泡堂》 　　　　soul.exe 　　　　　　　　 《魔域》 　　　　freestyle.exe 　　　　　　《街頭籃球》 　　　　mir3.exe 　　　　　　　　 《傳奇3》 　　　　cq.exe 　　　　　　　　　 《春秋Q傳》 　　　　tianji.dat 　　　　　　　 《天機OL》 　　　　game.exe 　　　　　　　　 《水滸Q傳》 　　　　ogremain.dll 　　　　　　 《天下圖霸2》 　　　　zeroonline.exe 　　　　　 《機戰(zhàn)ZeroOnline》 　　　　gameclient.exe 　　　　　 《浩方對戰(zhàn)平臺》 　　　　cabalmain.exe 　　　　　　《×××》 　　　　qqgame.exe 　　　　　　　 《QQ游戲平臺》 　　　　igame.exe 　　　　　　　　《中國游戲中心》 　　　　lobbyshell.exe 　　　　　 《新浪游戲大廳》 　　　　 注： %System32% 是一個可變路徑。病毒通過查詢操作系統(tǒng)來決定當(dāng)前 System文件夾的 位置。 　　 　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目錄 　　　　%DriveLetter%　 　　　　　　　 邏輯驅(qū)動器根目錄 　　　　%ProgramFiles%　 　 　　　　　 系統(tǒng)程序默認(rèn)安裝目錄 　　　　%HomeDrive% 　　　　　　　　　 當(dāng)前啟動的系統(tǒng)的所在分區(qū) 　　　　%Documents and Settings% 　　　當(dāng)前用戶文檔根目錄 　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings 　　　　　　　　　　　　 　　　　　　　\當(dāng)前用戶\Local Settings\Temp 　　　　%System32% 　　　　　　　　　　系統(tǒng)的 System32文件夾 　　　　 　　　　Windows2000/NT中默認(rèn)的安裝路徑是C:\Winnt\System32 　　　　windows95/98/me中默認(rèn)的安裝路徑是C:\Windows\System 　　　　windowsXP中默認(rèn)的安裝路徑是C:\Windows\System32

---

清除方案：

?

1 、使用安天***防線可徹底清除此病毒 ( 推薦 ) 2 、手工清除請按照行為分析刪除對應(yīng)文件，恢復(fù)相關(guān)系統(tǒng)設(shè)置。 　 　 (1)結(jié)束進(jìn)程： 　 　 　 SysInfo1.dll 　 　 (2打開注冊表編輯器，修改下列冊表鍵值為舊值： 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 　 　 　 \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2} 　 　 　 \InProcServer32\@ 　 　 　 Value: String: "C:\Program Files 　 　 　 \Common Files\Microsoft Shared 　 　 　 \MSINFO\SysInfo1.dll" 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes 　 　 　 \CLSID\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2} 　 　 　 \InProcServer32\ThreadingModel 　 　 　 Value: String: "Apartment" 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 　 　 　 \CurrentVersion\Explorer \ShellExecuteHooks 　 　 　 \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2} 　 　 　 Value: String: "" 　 　 (3) 刪除病毒文件： 　 　 　 %Program Files%\Common Files\Microsoft 　 　 　 Shared\MSINFO\SysInfo1.dll

轉(zhuǎn)載于:https://blog.51cto.com/yuncx/47007

總結(jié)

以上是生活随笔為你收集整理的又一游戏大盗（完美世界、跑跑等）SysInfo1.dll的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。