TROJ_OLYMPICDESTROYER.A
Win.Trojan.OlympicDestroyer-6446992-0 (ClamAV); Trojan-PSW.OlympicDestroyer (Ikarus)
Windows
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
没有
In the Wild:
是的
概要
该恶意软件不具有任何后门例程。
技术详细信息
安装
它在受感染的系统中植入下列自身副本:
- %User Temp%\_{Random 1}.exe -> modified copy
(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)
它植入下列文件:
- %User Temp%\_{Random 2}.exe -> PsExec.exe (Normal File)
- C:\Users\Public\{Hex Characters}
(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)
它植入和执行下列文件:
- %User Temp%\_{Random 3}.exe -> detected as TROJ_DESBACK.A
- %User Temp%\{Random 1}.exe -> detected as TSPY_BROWPASS.D (Browser Credential Stealer)
- %User Temp%\{Random 2}.exe -> detected as TSPY_MALSASS.A (System Credential Stealer)
它添加下列进程:
- %User Temp%\{Random 1}.exe 123 \.\pipe\{Pipe Name}
- %User Temp%\{Random 2}.exe 123 \.\pipe\{Pipe Name}
(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)
后门例程
该恶意软件不具有任何后门例程。
解决方案
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 3
确定和终止TROJ_OLYMPICDESTROYER.A检测到的文件
Step 4
使用Process Explorer终止该进程
Step 5
搜索和删除这些文件
- %User Temp%\_{Random 1}.exe
- %User Temp%\_{Random 2}.exe
- %User Temp%\_{Random 3}.exe
- %User Temp%\{Random 1}.exe
- %User Temp%\{Random 2}.exe
- C:\Users\Public\{Hex Characters}
- %User Temp%\_{Random 1}.exe
- %User Temp%\_{Random 2}.exe
- %User Temp%\_{Random 3}.exe
- %User Temp%\{Random 1}.exe
- %User Temp%\{Random 2}.exe
- C:\Users\Public\{Hex Characters}
Step 6
使用趋势科技产品扫描计算机,并删除检测到的TROJ_OLYMPICDESTROYER.A文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。