TSPY_ONLINEG.OMU
PWS:Win32/OnLineGames.LH(Microsoft),Rootkit.Win32.Agent.dhtd(Kaspersky),a variant of Win32/PSW.OnLineGames.QBV trojan(NOD32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
恶意软件类型:
Spyware
有破坏性?:
没有
加密?:
是的
In the Wild:
是的
概要
如需此「間諜程式」的快速全面一覽,請參閱下面的「安全威脅圖表」。
它窃取与特定游戏相关的用户名和密码等敏感信息。
它需要主要组件才能成功执行预期例程。
技术详细信息
安装
它植入下列组件文件:
- %Windows%\setupball.bmp - encrypted dll file(detected as TSPY_ONLINEG.OMU when decrypted)
- %Windows%\version.dat
- %Windows%\wintmp.dat
- %Windows%\winurl.dat
- %User Temp%\del{random}.bat - deletes the initiial copy of the malware, deletes the batch file itself, and renames an existing olesau32.dll(malware copy)
(注意: %Windows% 是 Windows 文件夹,通常位于 C:\WINDOWS 或 C:\WINNT。. %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)
它向下列进程中注入代码:
- explorer.exe
进程终止
它终止在受感染的系统内存中运行的下列进程:
- V3LTray.exe
- V3LSvc.exe
- V3Light.exe
- V3LRun.exe
植入例程
它在保存收集信息的位置植入下列文件:
- d3d8d{number}.ini
下载例程
趋势科技将下载的文件检测为:
- BKDR_TENPEQ.SM
信息窃取
它窃取与以下游戏相关的用户名和密码等敏感信息:
- DKonline.exe
- DuelPoker.exe
- PMClient.exe
- NMWizard24.exe
- heroes.exe
- Poker.exe
- HgSel.exe
- NGM.exe
- ArcheAge.exe
- fifazf.exe
- client.exe
- KRITIKA_Client.exe
窃取信息
它通过 HTTP POST 将收集的信息发送到下列 URL:
- www.{BLOCKED}la.com/up/otp.asp
其他详细信息
它需要主要组件才能成功执行预期例程。
解决方案
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 2
使用趋势科技产品扫描计算机,记录检测为TSPY_ONLINEG.OMU的文件
Step 4
重启进入安全模式
Step 5
搜索和删除这些文件
- %Windows%\setupball.bmp
- %Windows%\version.dat
- %Windows%\wintmp.dat
- %Windows%\winurl.dat
- d3d8d{number}.ini
- %Windows%\setupball.bmp
- %Windows%\version.dat
- %Windows%\wintmp.dat
- %Windows%\winurl.dat
- d3d8d{number}.ini
Step 6
使用趋势科技产品扫描计算机,并删除检测到的TSPY_ONLINEG.OMU文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。