熱血傳奇木馬
Trojan.Win32.Pincav.a
捕獲時間
2010-4-26
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的盜號木馬,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“31,556 ”字節(jié),圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”等方式傳播,病毒主要目的盜取用戶熱血傳奇游戲帳號密碼信息。
用戶中毒后,會出現(xiàn)熱血傳奇游戲無故退出、系統(tǒng)無故報錯、網(wǎng)絡(luò)速度降低、游戲帳號密碼信息被盜等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳染途徑
網(wǎng)頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“病毒“,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)木馬"Trojan.Win32.Pincav.a”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件:
%SystemRoot%\system32\dsound.dll
%SystemRoot%\system\EJGUD.DRV
%Temp%\TQ1.tmp
%Temp%\EJGUD.DRV
2.用正常文件dsound.dll替換系統(tǒng)文件%SystemRoot%\system32\dsound.dll
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
(1)查找熱血傳奇進程(mir1.dat),如果找到就強制關(guān)閉游戲進程。
(2)獲取系統(tǒng)臨時目錄,并在%Temp%下釋放文件TQ1.tmp。并將TQ1.tmp重命名為EJGUD.DRV(名字隨機)。
并復(fù)制到%SystemRoot%\system\EJGUD.DRV
(3)查找系統(tǒng)文件%SystemRoot%\system32\dsound.dll,并將其拷貝為為%SystemRoot%\system32\dsound.dll.mod。創(chuàng)建映射文件檢查%SystemRoot%\system32\dsound.dll.mod是否被感染過。如果沒有找到感染區(qū)段.boxer。則修改dsound.dll.mod增加區(qū)段.boxer。
(4)提升自身權(quán)限,創(chuàng)建進程快照查找360tray.exe,如果不存在則加載sfc_os.dll去除windows文件保護并用修改過的dsound.dll.mod替換原系統(tǒng)文件%SystemRoot%\system32\dsound.dll。使被感染過的用戶加載游戲時使會運行被修改過的文件%SystemRoot%\system32\dsound.dll加載病毒文件%SystemRoot%\system\EJGUD.DRV。EJGUD.DRV加載運行后判斷自身是否在熱血傳奇進程中,如果是則獲取用戶帳戶密碼等信息發(fā)送到指定網(wǎng)址。
(5)在%Temp%目錄釋放批處理刪除病毒源文件以及批處理,退出進程。
病毒創(chuàng)建文件:
%SystemRoot%\system32\dsound.dll
%SystemRoot%\system\EJGUD.DRV
%Temp%\TQ1.tmp
%Temp%\EJGUD.DRV
病毒刪除文件:
%SystemRoot%\system32\dsound.dll
