beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

夢幻西游盜號木馬Trojan-PSW.Win32.OnLineGames.emwf
來源:  2011-01-13 17:08:13

夢幻西游盜號木馬

Trojan-PSW.Win32.OnLineGames.emwf

捕獲時間

2011-01-13

危害等級



病毒癥狀

  該樣本是使用“VC ”編寫的“夢幻西游盜號”,由微點主動防御軟件自動捕獲, 采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“39,312”字節,圖標為“”,使用“exe”擴展名,通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播。病毒主要目的是盜取用戶的密碼和帳號。
  用戶計算機感染此木馬病毒后, 會出現“夢幻西游” 游戲無故關閉、輸入用戶名、密碼、密保時游戲運行緩慢的現象,最終將導致虛擬財產被黑客盜取,并且發現未知進程等現象.

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網頁掛馬、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜”,請直接選擇刪除處理(如圖1)

 

圖1 微點主動防御軟件自動捕獲未知病毒(未升級)



如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-PSW.Win32.OnLineGames.emwf”,請直接選擇刪除(如圖2)。

 

圖2   微點主動防御軟件升級后截獲已知病毒



未安裝微點主動防御軟件的手動解決辦法:

手動刪除文件
1.刪除  游戲安裝目錄\ksuser.dll
2.刪除  %temp%\4089984n04.dll(隨機名)
3.刪除  %temp%\n04d.dll

變量聲明:

%SystemDriver%       系統所在分區,通常為“C:\”
%SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles

病毒分析:

1.病毒建立進程快照,查找mhmain.dll文件,找到以后,結束該進程。
2.病毒通過枚舉注冊表信息項目:HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache來確認夢幻西游的安裝路徑。
3.病毒找到游戲安裝目錄以后,在該目錄下創建ksuser.dll文件并設置系統隱藏屬性。
4.病毒通過創建互斥體變量名為:"cmysjasdfgh0824",成功則在臨時文件目錄下創建%temp%\n04d.dll文件。病毒繼續獲得系統目錄路徑,找到rundll32.exe地方,"cmd /c C:\WINDOWS\System32\rundll32.exe C:\DOCUME~1\當前用戶\LOCALS~1\Temp\n04d.dll,DeleteSelf并以DeleteSelf為參數,隱藏命令行的形式,加載n04d.dll文件,然后退出該程序。
5.如果不成功,則建立進程快照查找進程名為:avp.exe, ravmond.exe, 360rp.exe, 360sd.exe, 360tray.exe, 360safe.exe等進程,
6.如果查找到其中一個進程:則病毒獲得用戶機器的全部磁盤的路徑,但是病毒只要找到C盤符路徑就行。病毒建立線程函數:遍歷C盤符下所有的文件,查找文件名為:my.exe,找到以后,退出該程序。
7. 如果沒有找到其中一個進程:則病毒獲取臨時文件路徑,在目錄下創建%temp%\4089984n04.dll(隨機名),并設置系統隱藏屬性
8. 病毒加載%Temp%\4089984n04.dll(隨機名),獲取其中Hookon和Hookoff函數,調用Hookon函數掛載鍵盤鉤子,獲取用戶的鍵盤輸入信息。以Hookoff參數卸載鍵盤消息鉤子。
9. 病毒繼續獲得系統目錄路徑,"cmd /c C:\WINDOWS\System32\rundll32.exe C:\DOCUME~1\當前用戶\LOCALS~1\Temp\n04d.dll,DeleteSelf并以DeleteSelf為參數,隱藏命令行的形式,加載n04d.dll文件,病毒主要目的是刪除病毒本身,然后退出該程序。
10. 用戶啟動游戲時,自動加載病毒文件ksuser.dll。病毒文加載后獲取用戶游戲帳戶,密碼及大區等信息發送到指定地址。

病毒創建文件:

游戲安裝目錄\ksuser.dll
%temp%\4089984n04.dll(隨機名)
%temp%\n04d.dll
免費體驗
下  載
安裝演示