avengert 发表于 2010-3-19 14:56

2010年3月19日【诛仙游戏盗号木马截图获取密保信息】

以下是2010年3月19日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“游戏窃取者”(Trojan/Win32.Vilsel.ogc)威胁级别:★★★★
      该恶意代码文件为梦幻诛仙游戏盗号木马,病毒运行之后在%System32%\drivers目录下创建bmtpws31.dat文件并将病毒作者回传地址及账户信息存放在该文件中,一旦截取到游戏账号和密码则读取该文件中的地址以URL或邮件方式上传到作者指定的地址中,衍生kb****.dll(*号为随机数字)和wsconfig.db文件到%System32%目录下,删除临时目录下的~t12.tmp和~23.tmp文件,拷贝系统imm32.dll文件到临时目录下命名为~t12.tmp并在文件尾部添加一个节名为.ss32,并向该节写入850字节数据修改文件的入口点,拷贝%System32%目录下的imm32.dll改名为imm32.dll.bak,先动态加载一下imm32.dll然后再释放,动态加载sfc_os.dll系统文件,调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护,然后将修改过的imm32.dll拷贝到%System32%目录下替换系统的imm32.dll文件,以达到加载imm32.dll文件来执行病毒代码的目的,遍历进程查找gameclient.exe进程找到之后强行结束该进程,释放BAT批处理文件删除病毒自身文件,将病毒DLL文件注入到conime.exe进程中,病毒DLL文件被注入后创建互斥量M_1484_-1,创建2个线程对比游戏内存16字节数据是否匹配(E621582CC93BB589D16F67488F61D582),如果匹配到,则再次对游戏进程的模块进行对比139字节数据并将匹配后的模块地址保存起来,以上条件成立后则获取当前窗口的坐标并截取下当前窗口作为.\tmpimg.bmp保存到病毒所在目录下以获取密保之类的信息,读取游戏目录下的.\wtf\serveraddr.ini配置文件获取游戏账号所在服务器相关信息,通过内存定位截取游戏账号密码将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中。

二、“捆绑木马”(Trojan/Win32.Agent.bths)威胁级别:★★★★
   该病毒为木马类病毒,病毒运行后,创建进程加载病毒DLL文件,添加注册表启动项,创建相应快捷方式文件到桌面,将病毒dll文件注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。



安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页: [1]
查看完整版本: 2010年3月19日【诛仙游戏盗号木马截图获取密保信息】