beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點(diǎn)新聞  |  業(yè)界動(dòng)態(tài)  |  安全資訊  |  安全快報(bào)  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁
通行證  |  客服中心  |  微點(diǎn)社區(qū)  |  微點(diǎn)郵局  |  常見問題  |  在線訂購  |  各地代理商
 

外掛詐騙犯Trojan-Dropper.Win32.Agent.b
來源:  2010-05-13 17:26:52

外掛詐騙犯

Trojan-Dropper.Win32.Agent.b

捕獲時(shí)間

2010-5-13

危害等級



病毒癥狀

    該樣本是使用“VC ”編寫的后門程序,長度為“909,273”字節(jié),圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是下載安裝病毒木馬,盜取用戶DNF游戲帳戶密碼信息。
    用戶中毒后會(huì)出系統(tǒng)運(yùn)行緩慢無故報(bào)錯(cuò),網(wǎng)絡(luò)訪問異常,系統(tǒng)輸入法丟失并出現(xiàn)名為WOAISHIBO的未知輸入法,殺軟無故退出,DNF游戲帳戶密碼被盜等現(xiàn)象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

網(wǎng)頁木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜軟件”,請直接選擇刪除處理(如圖1);


圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級)




如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Dropper.Win32.Agent.b”,請直接選擇刪除(如圖2)。


圖2   微點(diǎn)主動(dòng)防御軟件升級后截獲已知病毒




未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:

1.手動(dòng)刪除以下文件

%SystemRoot%\system32\woaishibo.ime
%temp%\406.exe
%temp%\YD_Server.exe
%temp%\點(diǎn)擊開始.exe
%SystemRoot%\system32\yoyoddos.exe

2.用正常的文件替換%SystemRoot%\system32\sensapi.dll

3.刪除以下注冊表項(xiàng)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yoyoddos

變量聲明:

  %SystemDriver%       系統(tǒng)所在分區(qū),通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”

病毒分析
       
1.該樣本將自身偽裝成DNF游戲外掛捆綁大量木馬病毒,騙取用戶下載運(yùn)行,運(yùn)行后在%temp%目錄下分別釋放以下文件“406.exe”,“YD_Server.exe”,“點(diǎn)擊開始.exe”并分別運(yùn)行。
2.406.exe運(yùn)行后釋放文件%SystemRoot%\system32\woaishibo.ime。獲取鍵盤布局并將woaishibo.ime安裝成名稱為“WOAISHIBO”的輸入法,更改輸入法將其設(shè)置為默認(rèn)輸入法,使其自動(dòng)加載運(yùn)行。創(chuàng)建批處理刪除406.exe,woaishibo.im運(yùn)行后修改%SystemRoot%\system32\sensapi.dll,安裝鉤子,盜取用戶DNF游戲帳戶密碼信息。
3.YD_Server.exe運(yùn)行后生成%SystemRoot%\system32\yoyoddos.exe ,打開服務(wù)管理器,并將yoyoddos.exe注冊為服務(wù)運(yùn)行。修改注冊表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yoyoddos,查找svchost.exe,并注入svchost.exe,連接遠(yuǎn)端主機(jī),聽取命令。
4.點(diǎn)擊開始.exe運(yùn)行后彈出毫無實(shí)際功能的游戲外掛界面以欺騙用戶。
  
病毒創(chuàng)建文件

%SystemRoot%\system32\woaishibo.ime
%temp%\406.exe
%temp%\YD_Server.exe
%temp%\點(diǎn)擊開始.exe
%SystemRoot%\system32\yoyoddos.exe

病毒創(chuàng)建注冊表

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yoyoddos

病毒訪問網(wǎng)絡(luò):

guanghan28.gicp.net
免費(fèi)體驗(yàn)
下  載
安裝演示