捕獲時間
2009-5-24
病毒癥狀
該樣本是使用“VC”編寫的盜號木馬�,由微點主動防御軟件自動捕獲��,采用“Upack”加殼方式��,企圖躲避特征碼掃描�,加殼后長度為“14,812 字節”,圖標為“
”����,病毒擴展名為“exe”�����,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為盜取傳奇世界帳號密碼信息��。
用戶中毒后�����,游戲無故關閉����,輸入帳號���、密碼時游戲運行緩慢的現象�,最終將導致虛擬財產被黑客盜取��。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬��、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置�����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒����。如果您沒有將微點主動防御軟件升級到最新版����,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”�,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�����,微點將報警提示您發現" Trojan-PSW.Win32.OnLineGames.ehlu”���,請直接選擇刪除(如圖2)��。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶��,微點反病毒專家建議:
1、把%SystemRoot%\system32\sysgth.Dll重命名為%SystemRoot%\system32\ComRes.dll
2、手動刪除以下文件:
%SystemRoot%\system32\muksfv1.dll
%SystemRoot%\system32\sysgth.Dll
%SystemRoot%\fonts\comres1.Ttf
%SystemRoot%\fonts\GTH37560.ttf
%SystemRoot%\fonts\GTH37560.fon
%SystemRoot%\system32\GTH37560.exe
變量聲明:
%SystemDriver% 系統所在分區�����,通常為“C:\”
%SystemRoot% WINDODWS所在目錄����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄��,通常為:“C:\ProgramFiles”
病毒分析
(1)復制%SystemRoot%\system32\sfc_os.dll為%SystemRoot%\muksfv1.dll�,加載運行�,去掉ComRes.dll的文件保護功能;
(2)將系統文件%SystemRoot%\system32\ComRes.Dll移動到%SystemRoot%\system32\sysgth.dll
(3)在%SystemRoot%\system32目錄下釋放文件ComRes.Dll���;
(4)在%SystemRoot%\fonts目錄下釋放comres1.Ttf,GTH37560.Ttf和GTH37560.Fon�;
(5)遍歷傳奇世界游戲進程����,結束進程�����;
(6)復制%SystemRoot%\system32\rundll32.exe為%SystemRoot%\system32\gth23503.Exe�����;
(7)創建進程,加載動態庫運行�;
(8)設鉤子�,截獲密碼��,發送到黑客指定空間;
(9)刪除病毒自身�;
病毒創建文件:
%SystemRoot%\system32\muksfv1.dll
%SystemRoot%\system32\sysgth.Dll
%SystemRoot%\system32\ComRes.Dll
%SystemRoot%\fonts\comres1.Ttf
%SystemRoot%\fonts\GTH37560.ttf
%SystemRoot%\fonts\GTH37560.fon
%SystemRoot%\system32\GTH37560.exe
病毒修改文件:
%SystemRoot%\system32\ComRes.dll
