捕獲時間
2009-4-2
病毒摘要
該樣本是使用“C”語言編寫的蠕蟲程序,由微點主動防御軟件自動捕獲,長度為“24,659 字節”,圖標為“
”,病毒擴展名為“exe”, 主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”、等方式傳播,病毒主要目的為盜取大量游戲帳號和密碼等信息。
用戶中毒后,游戲無故關閉,輸入帳號、密碼時游戲運行緩慢的現象,安全軟件功能失效,最終將導致虛擬財產被黑客盜取。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
文件捆綁、下載器下載、網頁木馬
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-PSW.Win32.Magania.gan”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、手動刪除以下文件:
%SystemRoot%system32\HBQQSG.dll
%SystemRoot%system32\System.exe
2、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:HBService32"
數據:System.exe
3.修改如下注冊鍵:
鍵:HKEY_LOCAL_MACHINE\Software\360Safe\safemon
值:ARPAccess
數據: 1
值:LeakShowed
數據: 1
值:MonAccess
數據: 1
值:NoNotiLeak
數據: 1
值: NoNotiNews
數據: 1
值:SiteAccess
數據: 1
值:UDiskAccess
數據: 1
值:weeken
數據: 1
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
值:AppInit_DLLs
數據:“”
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)遍歷進程,發現并結束如下進程
my.exe
Client.exe"
woool.dat
woool88.dat
xy2.exe
game.exe
SO2Game.exe
SO2GameFree.exe
FSOnline2.exe
gameclient.exe"
elementclient.exe"
asktao.mod"
Wow.exe"
ZeroOnline.exe"
Bo.exe"
Conquer.exe"
soul.exe"
TheWarlords.exe"
china_login.mpr"
blueskyclient_r.exe"
xy3.exe"
QQLogin.exe"
DNF.exe"
gc12.exe"
hugemanclient.exe"
HX2Game.exe"
QQhxgame.exe"
tw2.exe"
QQSG.exe"
QQFFO.exe"
zhengtu.dat"
mir1.dat"
mir2.dat"
tty3d.exe"
metin2.bin"
AClient.exe"
gamefree.exe"
xiyou.exe"
(2)生成動態庫文件HBQQSG.dll和病毒主程序System.exe,如果動態庫文件存在生成批處理文件,把庫文件重命名為E.tmp
(3)運行System.exe,加載動態庫文件
(4)設置鍵盤鉤子,獲取游戲帳號密碼并發送到指定網站
(5) 發現問道游戲窗口,關閉窗口
(6)修改注冊表使360安全衛士部分功能失效,刪除其啟動項目
(7)填加注冊表啟動項目
(8)生成批處理刪除自身
病毒創建文件:
%SystemRoot%system32\HBQQSG.dll
%SystemRoot%system32\System.exe
%Temp%\f.tmp.bat
%Temp%SelfDel.bat
病毒創建注冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\HBService32
病毒修改注冊表:
HKEY_LOCAL_MACHINE\Software\360Safe\safemon
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
病毒刪除如下注冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\360Safetray
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\360Safebox
病毒訪問網絡:
http://www.bm-gj***fhkj10000.cn/postly/post.asp
http://www.bm-ds***ksdf20000.cn/lym/023ertyud/post.asp
http://www.bm-ds***jvfd30000.cn/postly/post.asp
http://www.bm-ds***tert40000.cn/lym/023hgfytr/post.asp
