beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點(diǎn)新聞  |  業(yè)界動態(tài)  |  安全資訊  |  安全快報  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁
通行證  |  客服中心  |  微點(diǎn)社區(qū)  |  微點(diǎn)郵局  |  常見問題  |  在線訂購  |  各地代理商
 

盜號木馬Trojan-PSW.Win32.OnLineGames.elim
來源:  2010-01-04 09:37:47

盜號木馬

Trojan-PSW.Win32.OnLineGames.elim

捕獲時間

2010-1-3

危害等級



病毒癥狀

 該樣本是使用“Microsoft visual C /C”編寫的“盜號木馬”,由微點(diǎn)主動防御軟件自動捕獲,采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為19,460字節(jié),圖標(biāo)為“
”, 使用“ exe”擴(kuò)展名,通過網(wǎng)頁木馬、下載器下載、等方式進(jìn)行傳播。
用戶中毒后,會出現(xiàn)計算機(jī)及網(wǎng)絡(luò)運(yùn)行緩慢,游戲進(jìn)程無故退出等現(xiàn)象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista

傳播途徑

網(wǎng)頁掛馬、文件捆綁、下載器下載

防范措施

已安裝使用微點(diǎn)主動防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點(diǎn)主動防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動防御軟件升級到最新版,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜軟件”,請直接選擇刪除處理(如圖1);


圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒(未升級)




如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本,微點(diǎn)將報警提示您發(fā)現(xiàn)"Trojan-PSW.Win32.OnLineGames.elim”,請直接選擇刪除(如圖2)。


圖2   微點(diǎn)主動防御軟件升級后截獲已知病毒




未安裝微點(diǎn)主動防御軟件的手動解決辦法:

1、手動刪除以下文件:

%SystemRoot%\system32\t331004.ini
%SystemRoot%\system32\t331004.exe
%SystemRoot%\system32\t331004.dll

2、手動恢復(fù)以下文件:

%SystemRoot%\system32\t3rpcss.dll重命名為rpcss.dll


變量聲明:

  %SystemDriver%       系統(tǒng)所在分區(qū),通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”

病毒分析

1.病毒運(yùn)行后釋放動態(tài)庫文件" %Temp%\~04a574.~~~"和配置文件"%SystemRoot%\system32\t331004.ini"。
2.遍歷進(jìn)程,如果發(fā)現(xiàn)avp.exe,就拷貝"%SystemRoot%\system32\rundll32.exe"為同目錄下的t331004.exe,并運(yùn)行t331004.exe,以GetName和病毒路徑為參數(shù)加載~04a574.~~~;否則就直接調(diào)用rundll32.exe以同樣參數(shù)加載~04a574.~~~。
3.在~04a574.~~~中,設(shè)置自己為"SeDebugPrivilege"權(quán)限,在explorer.exe進(jìn)程中創(chuàng)建遠(yuǎn)程線程,調(diào)用sfc_os.#5去掉"%SystemRoot%\system32\rpcss.dll"系統(tǒng)保護(hù),拷貝"%SystemRoot%\system32\rpcss.dll"為同目錄下的t3rpcss.dll,拷貝~04a574.~~~為rpcss.dll,釋放動態(tài)庫文件"%SystemRoot%\system32\t331004.dll",刪除病毒源文件。
4.當(dāng)替換后的rpcss.dll被svchost.exe加載后,就會調(diào)用t331004.dll,在t331004.dll中,遍歷進(jìn)程查找wow.exe,竊取用戶信息,發(fā)送到指定地址;刪除%temp%目錄下擴(kuò)展名稱為“.~~~”的文件。

病毒創(chuàng)建文件:

%Temp%\~04a574.~~~
%SystemRoot%\system32\t331004.ini
%SystemRoot%\system32\t331004.exe
%SystemRoot%\system32\t331004.dll
%SystemRoot%\system32\t3rpcss.dll

病毒替換文件:

%SystemRoot%\system32\rpcss.dll

病毒刪除文件:

%temp%\*.~~~

病毒連接網(wǎng)絡(luò)

http://chengxinjizhan.com:8080/lmsx/post.asp
免費(fèi)體驗
下  載
安裝演示