魔獸盜號木馬
Trojan-PSW.Win32.WOW.a
捕獲時間
2010-8-21
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的盜號木馬���,由微點主動防御軟件自動捕獲,采用“upx”加殼方式試圖躲避特征碼掃描,加殼后長度為“21,032”字節(jié)����,圖標為“
”,病毒擴展名為“exe”��,主要通過“文件捆綁”���、“下載器下載”�����、“網(wǎng)頁掛馬”等方式傳播��,病毒主要目的是盜取游戲賬號和密碼。
用戶中毒后����,游戲會莫名關(guān)閉����,系統(tǒng)會變慢�����,賬號和密碼會被盜取���。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁�、網(wǎng)頁掛馬����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶��,無須任何設(shè)置�,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞�。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒����。如果您沒有將微點主動防御軟件升級到最新版�����,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“可疑程序”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)木馬"Trojan-PSW.Win32.WOW.a”��,請直接選擇刪除(如圖2)�����。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1�、手動刪除以下文件:
%Temp?23890.dll
%Temp%\t1.dll
游戲安裝目錄\gamet1.dll
游戲安裝目錄\woool.dll
2 刪除注冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ms-tl_Srv
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)�����,通常為“C:\”
%SystemRoot% WINDODWS所在目錄���,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)該樣本執(zhí)行后創(chuàng)建互斥體"tlasdfasdf"����,防止程序二次運行�����。
(2)獲取系統(tǒng)臨時目錄 %Temp% ��,查找game.exe進程,找到就結(jié)束該進程。
(3)遍歷注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache 查找‘\launch.bi’目錄�����。
(4)若找到該目錄拷貝%SystemRoot%\System32目錄下的lpk.dll 文件到游戲安裝目錄下改名為woool.dll,并創(chuàng)建gamet1.dll文件�,
(5)遍歷所有進程查找AVP.exe和RavMonD.exe進程。
(6)若有,就創(chuàng)建服務(wù)�����,名稱為Ms-tl_Srv����,自啟動方式,并指定服務(wù)程序%SystemDriver%\16.exe。獲取sebackupprivilege權(quán)限�。
保存注冊表項及子項為%SystemDriver%\NewBook.
創(chuàng)建注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ms-tl_Srv�����。刪除NewBook。
(7)若沒有�����,在%Temp%目錄創(chuàng)建89123890.dll (文件名可變)文件 �����,屬性設(shè)置為系統(tǒng)和隱藏。并動態(tài)加載����。
設(shè)置鉤子函數(shù)��,盜取游戲帳號密碼等信息。
(8) 調(diào)用命令刪除自身���。
病毒創(chuàng)建文件:
%SystemDriver%\NewBook
%Temp%\t1.dll
%Temp%\89123890.dll
游戲安裝目錄\gamet1.dll
游戲安裝目錄\woool.dll
病毒刪除文件:
源文件
%SystemDriver%\NewBook
創(chuàng)建注冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ms-tl_Srv
