"DNF"盜號木馬
Trojan-PSW.Win32.Magania.rwc
捕獲時間
2011-05-17
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的木馬程序�,由微點主動防御軟件自動捕獲,采用"Upack"加殼方式試圖躲避特征碼掃描,加殼后長度為“34,532”字節,圖標為“
”���,病毒擴展名為“exe”,主要通過“文件捆綁”�、“下載器下載”�、“網頁掛馬”等方式傳播�,病毒主要目的是盜取網游"DNF"的游戲"游戲"、"賬號"信息��。
用戶中毒后�,會出現系統運行緩慢、存在大量未知可疑進程����、網游"DNF"的游戲"游戲"�����、"賬號"信息被盜、丟失等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁���、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�����。無論您是否已經升級到最新版本���,微點主動防御都能夠有效清除該病毒����。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-PSW.Win32.Magania.rwc”���,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動結束本機中可疑的"rundll32.exe"進程
2.刪除以下文件:
%SystemRoot%\system32\viewwl.dat
%SystemRoot%\system32\ijvjfl1.dat
%SystemRoot%\system32\ijvjfl2.dat
%SystemRoot%\system32\ijvjfl3.dat
%SystemRoot%\system32\ijvjfl4.dat
%SystemRoot%\system32\ijvjfl5.dat
%ProgramFiles%\dnf\ijvjfl1.dat
%ProgramFiles%\dnf\ijvjfl2.dat
%ProgramFiles%\dnf\ijvjfl3.dat
%ProgramFiles%\dnf\ijvjfl4.dat
%ProgramFiles%\dnf\ijvjfl5.dat
%SystemRoot%\system32\btthwqman.dlll(隨機命名)
變量聲明:
%SystemDriver% 系統所在分區���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄��,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.改樣本運行之后��,創建進程快照查找進程"360tray.exe"�、"ravmond.exe"、"qqpctray.exe"進程�,若找到則記錄下其進程標示id.
2.獲取系統路徑���,嘗試打開系統路徑下名為"viewwl.dat"文件�����,若打開失敗則創建,用該文件來標示本機是否運行過病毒�。
3.在系統目錄下分別創建文件"ijvjfl1.dat"�、"ijvjfl2.dat"�����、"ijvjfl3.dat"����、"ijvjfl4.dat"����、"ijvjfl5,.dat",將配置信息拆分后分別寫入到所創建的五個文件中��。
4.若發現步驟1中的所查找的進程存在�����,則創建目錄"%ProgramFiles%\dnf"���,并在該文件夾下釋放動態鏈接庫文件"btthwqman.dll"(隨機命名)����,若所查找進程不存在����,則將該動態呢鏈接庫文件釋放到%SystemRoot%\system32文件夾下。
5.創建進程運行系統文件rundll32.exe�,以附加命令行方式加載動態鏈接庫文件"btthwqman.dll"并運行該動態鏈接庫的導出函數"Porn"函數��。
6.創建進程運行系統文件cmd.exe,以附加命令方式刪除病毒源文件�����。
7.動態鏈接庫文件"btthwqman.dll"運行后�����,初始化socket�����,并從"ijvjfl1.dat"等文件中讀取配置信息����。
8.創建系統快照,查找"dnf.exe"��、"chinadnf.exe"進程���。
9.通過創建全局鍵盤鉤子�,以及截屏等方法,盜取游戲"賬號""密碼"信息���,并發送到黑客指定遠端地址。
病毒創建文件:
%SystemRoot%\system32\viewwl.dat
%SystemRoot%\system32\ijvjfl1.dat
%SystemRoot%\system32\ijvjfl2.dat
%SystemRoot%\system32\ijvjfl3.dat
%SystemRoot%\system32\ijvjfl4.dat
%SystemRoot%\system32\ijvjfl5.dat
%ProgramFiles%\dnf\ijvjfl1.dat
%ProgramFiles%\dnf\ijvjfl2.dat
%ProgramFiles%\dnf\ijvjfl3.dat
%ProgramFiles%\dnf\ijvjfl4.dat
%ProgramFiles%\dnf\ijvjfl5.dat
%SystemRoot%\system32\btthwqman.dlll(隨機命名)
病毒訪問網絡:
58.***.33.***:54***/f/w***
