DNF盜號木馬
Trojan-PSW.Win32.OnLineGames.m
捕獲時間
2010-5-11
危害等級
中
病毒癥狀
該樣本是使用“MFC”編寫的游戲盜號程序,由微點主動防御軟件自動捕獲��,采用“UPX”加殼方式,加殼后長度為“47,616”字節����,圖標為“
”����,使用“exe”擴展名��,通過文件捆綁、網頁掛馬��、下載器下載等方式進行傳播��。病毒主要目的是盜取用戶地下城與勇士(DNF)游戲帳戶密碼信息�。
用戶中毒后會出現地下城與勇士(DNF)游戲無故退出����,游戲無故彈錯,網絡連接異常���,DNF帳戶密碼被盜等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
網頁木馬����、文件捆綁���、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶����,無須任何設置���,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)����;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-PSW.Win32.OnLineGames.m”,請直接選擇刪除(如圖2)���。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件
%SystemRoot%\system32\zydxc1.dat
%SystemRoot%\system32\zydxc2.dat
%SystemRoot%\system32\zydxc3.dat
%SystemRoot%\system32\zydxc4.dat
%SystemRoot%\system32\ydxc0508.dll
%SystemRoot%\system32\mysafe.sys
2.用正常的注冊表文件替換以下注冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄���,通常為:“C:\ProgramFiles”
病毒分析:
1.刪除將要釋放的病毒文件,完成后分別釋放以下病毒文件,
%SystemRoot%\system32\zydxc1.dat���、%SystemRoot%\system32\zydxc2.dat、%SystemRoot%\system32\zydxc3.dat�����、%SystemRoot%\system32\zydxc4.dat、%SystemRoot%\system32\ydxc0508.dll、%SystemRoot%\system32\mysafe.dat.其中前四個文件為病毒配置信息文件。
2.遍歷本地網絡服務,查找是否已經將生成的病毒文件%SystemRoot%\system32\ydxc0508.dll為作SPI服務提供文件使用����,如果沒有則加載運行ydxc0508.dll并將其安裝為網絡服務文件����,使該庫文件隨系統網絡服務啟動而啟動����。
3.ydxc0508.dll被加載運行,比較自身是否在相關進程中而執行其功能。如果自身是dnfchina.exe,qqlogin.exe����,dnf.exe中則改寫游戲內存使其出錯或者強制關閉該進程��。將%SystemRoot%\system32\mysafe.dat重命名為%SystemRoot%\system32\mysafe.sys,并恢復其PE文件頭�����,將其注冊表mysafe的服務����。并會遍歷系統進程查找360tray.exe ravmond.exe kamonxp.exe與驅動交互關閉殺軟����。
4.設置鍵盤鉤子,用戶輸入帳戶密碼時獲取其帳戶密碼信息���。查找桌面窗口截獲用戶密保卡信息保存為%SystemDriver%\mibiao.jpg,將獲取的信息發送到指定網址�。
5.批處理刪除病毒源文件�。
病毒創建文件:
%SystemRoot%\system32\zydxc1.dat
%SystemRoot%\system32\zydxc2.dat
%SystemRoot%\system32\zydxc3.dat
%SystemRoot%\system32\zydxc4.dat
%SystemRoot%\system32\ydxc0508.dll
%SystemRoot%\system32\mysafe.sys
病毒訪問網絡:
www.haoz6.com
