DNF大盜
Trojan-PSW.Win32.OnLineGames.a
捕獲時間
2010-8-10
危害等級
中
病毒癥狀
該樣本是使用“C ”編寫的木馬程序��,由微點主動防御軟件自動捕獲,采用UPX加殼方式,加殼后長度為“52,736字節(jié)”���,圖標(biāo)為“
”���,病毒擴展名為“exe”,主要通過“網(wǎng)頁木馬“,“文件捆綁”����、“下載器下載”等方式傳播��,
用戶中毒后,會出現(xiàn)游戲無故退出,虛擬財產(chǎn)遭受損失等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁�����、網(wǎng)頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置�����,微點主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞�。無論您是否已經(jīng)升級到最新版本����,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版�����,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”�����,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本�,微點將報警提示您發(fā)現(xiàn)木馬"Trojan-PSW.Win32.OnLineGames.a”����,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
手動刪除以下文件:
%SystemRoot%\system32\zyshit1.dat
%SystemRoot%\system32\zyshit2.dat
%SystemRoot%\system32\zyshit3.dat
%SystemRoot%\system32\zyshit4.dat
%SystemRoot%\system32\dxwazqbea.dll
C:\WINDOWS\system32\zyshit.cfg
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄��,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾���,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄���,通常為:“C:\ProgramFiles”
病毒分析:
1 該樣本執(zhí)行后�,首先創(chuàng)建系統(tǒng)鉤子函數(shù),捕獲按鍵消息����,盜取游戲賬號�。
2 獲取系統(tǒng)文件目錄���,在"%SystemRoot%\system32\目錄下 創(chuàng)建zyshit1.dat" ����,zyshit2.dat ���,zyshit3.dat�����,zyshit4.dat文件�����,屬性都設(shè)置為系統(tǒng),隱藏。
3 在該目錄下創(chuàng)建文件" dxwazqbea.dll"(隨機文件名)文件, 并將該動態(tài)庫作為服務(wù)提供者進(jìn)行設(shè)置�。隨網(wǎng)絡(luò)服務(wù)啟動���。之后自刪除����。
4 若服務(wù)設(shè)置失敗�����,就創(chuàng)建 C:\Program Files\dnf文件目錄�����,并創(chuàng)建dxwazqbea.dll文件 。創(chuàng)建進(jìn)程��,調(diào)用系統(tǒng)函數(shù)rundll.exe加載dxwazqbea.dll��。創(chuàng)建文件 "C:\WINDOWS\system32\zyshit.cfg"�,
5調(diào)用命令刪除自己���。
病毒創(chuàng)建文件:
%SystemRoot%\system32\zyshit1.dat
%SystemRoot%\system32\zyshit2.dat
%SystemRoot%\system32\zyshit3.dat
%SystemRoot%\system32\zyshit4.dat
%SystemRoot%\system32\dxwazqbea.dll
C:\WINDOWS\system32\zyshit.cfg
