avengert 发表于 2010-5-17 10:41

2010年05月17日【大话西游盗号木马将病毒DLL注入进程】

以下是2010年5月17日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“大话窃贼”(Trojan/Win32.Win32.WOW.zan)威胁级别:★★★★
   该恶意代码文件为大话西游2盗号木马,病毒运行后判断进程查找xy2.exe进程,找到之后强行结束该进程,打开注册表的ShellNoRoam\MUICache项枚举该键值下的所有值是否有\xy2.ex,如果找到之后则将%System32%目录下的ksuser.DLL文件拷贝一份命名为xy2woool.dll,衍生病毒DLL文件到病毒原体所在目录下,命名为xy2color.dll、xy2ksuser.dll并将文件属性设置为隐藏,遍历进程查找avp.exe、KVMonXP.exe,如果存在以上任意一个进程则衍生病毒DLL文件到临时目录下命名为dd2.dll,调用CMD命令使用rundll32.exe启动衍生的DLL文件,如果找不到则衍生随机病毒名DLL文件到%Temp%目录下并将文件属性设置为隐藏,试图将DLL注入到所有进程中,设置全局钩子截取游戏账号密码通过URL发送到作者指定的地址中。

二、“感染者”(Worm.Win32.Allaple.e)威胁级别:★★★★
    该病毒为蠕虫类病毒,病毒运行后调用API函数设置隐藏内存报错窗口,获取自身模块句柄动态加载“icmp.dll”系统库文件并获取多个API函数,创建互斥体防止病毒多次运行,创建多个线程,获取磁盘驱动器信息,判断磁盘类型是否是3,如果是3则分配一块内存并将磁盘驱动器名保存到分配的buffer中,接着创建一个线程将线程优先级设置为2,然后每隔1秒遍历一次保存在buffer中的磁盘下的所有文件,判断文件的后缀名是否为.htm和.html,找到之后将文件属性设置为存档,比较找到的.htm文件起始代码的第68个字节是否是和指定的代码相同,如果相同则调用,如果不同则说明没有被感染,则会将这68字节数据写入到.htm文件的文件头中,并将病毒自身随机拷贝为病毒名文件到找到的.htm文件的所在目录下,伪装成ActiveX组件,添加注册表病毒CLSID值启动项,该病毒文件利用windows漏洞传播自身,试图连接多个网站,溢出成功之后并试图尝试使用弱口令登陆目标计算机。


安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页: [1]
查看完整版本: 2010年05月17日【大话西游盗号木马将病毒DLL注入进程】