盜號木馬
Trojan-PSW.Win32.Magania.gi
捕獲時間
2009-10-5
危害等級
中
病毒癥狀
該樣本是使用“VC”編寫的盜號木馬,由微點主動防御軟件自動捕獲����,長度為“124,594 字節”,圖標為“
”��,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”����、“網頁掛馬”等方式傳播���,病毒主要目的為盜取虛擬財產帳號密碼信息���。
用戶中毒后�����,會出現360反病毒軟件無法正常使用、網絡速度降低、虛擬財產無故被盜等現象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬�、文件捆綁�����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�。無論您是否已經升級到最新版本��,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”���,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-PSW.Win32.Magania.gi”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1���、手動刪除以下文件:
%TEMP%\INDEX.EXE
[360安裝目錄]\deepscan\360deepscan.exe
[360安裝目錄]\deepscan\360wservice.dll
%TEMP%\tmp\360deepscan.exe
%TEMP%\tmp\360wservice.dll
%Documents and Settings%\Local User\ntuser.dll
2、手動刪除以下注冊表值:
鍵: HKEY_LOCAL_MACHINE\SYSTEM\CurrnetControlSet\Services\6to4
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄��,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄����,通常為:“C:\ProgramFiles”
病毒分析
(1)創建目錄%Documents and Settings%\Local User,并設置該目錄為隱藏。
(2)檢測注冊表中360Safe的相關鍵值�����,如果找到�,則釋放文件%TEMP%\INDEX.EXE,設置該文件屬性為隱藏,并執行INDEX.EXE����。
執行INDEX.EXE后���,該程序會創建一個線程����,循環檢測當前窗口標題含有360相關關鍵字的窗口�����,一旦找到����,將其窗口銷毀�����,使用
戶不能正常使用360反病毒軟件����。
(3)設置下次系統重啟刪除360安裝目錄下的deepscan目錄,釋放文件%TEMP%\tmp\360deepscan.exe和%TEMP%\tmp\360wservice.dll���,
并將這兩個文件復制到360安裝目錄的deepscan目錄下�,將病毒代碼寫入該文件,并將該目錄下的deepscan.dll文件設為隱藏�����。
(4) 解密自身資源���,查詢注冊表鍵"NetSvcs"對應的服務��,如果找到����,則創建名為"6to4"的服務�,并啟動。
(5) 釋放動態鏈接庫%Documents and Settings%\Local User\ntuser.dll�,設置該文件為隱藏����,并通過服務的方式加載該動態鏈接庫��。
(6)安裝消息鉤子���,獲取用戶按鍵記錄���,試圖盜取用戶虛擬財產相關帳號密碼信息���,并將獲取的信息通過網絡發送到指定地址�。
病毒創建文件:
%TEMP%\INDEX.EXE
[360安裝目錄]\deepscan\360deepscan.exe
[360安裝目錄]\deepscan\360wservice.dll
%TEMP%\tmp\360deepscan.exe
%TEMP%\tmp\360wservice.dll
%Documents and Settings%\Local User\ntuser.dll
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrnetControlSet\Services\6to4
