avengert 发表于 2010-7-22 15:25

2010年7月22日【大话木马强行结束游戏进程衍生病毒】

以下是2010年7月22日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“大话木马”(Trojan/Win32.WOW.ipf)威胁级别:★★★★
   该恶意代码文件为大话西游2游戏盗号木马,病毒运行后首先会查找进程里有没有大话西游2的游戏进程,如果找到后就强行结束游戏进程,使用户重新登陆游戏以便通过键盘钩子窃取用户输入的游戏账号密码,衍生病毒DLL文件到系统目录下,试图将DLL注入到所有进程中,设置键盘消息钩子准备截取游戏账号密码,将账号密码发送到病毒作者指定的地址中。

二、“魔兽窃贼”(Trojan/Win32.WOW.ipo)威胁级别:★★★★
    该恶意代码文件为魔兽世界游戏盗号木马,病毒运行后遍历进程查找avp.exe、ravmond.exe进程,如果2个进程存在任意一个,则会判断注册表是否有魔兽世界注册表项,直到找到该注册表项为止,如果不存在以上2个进程,则会遍历进程查找wow.exe、backgrounddownloader.exe进程并将其强行结束,遍历注册表查找魔兽世界注册表键值,找到之后删除魔兽世界目录下的ksuser.dll文件(如果注册表不存在魔兽世界键值则不衍生),并重新创建一个同名文件到游戏目录下,将属性设置为隐藏,创建互斥体防止病毒多次运行,再次遍历进程查找avp.exe、ravmond.exe进程如果找到进程,则衍生DLL文件到%TEMP%临时目录下,使用rundll32.exe启动衍生的病毒DLL文件,如果进程中不存在以上2个安全软件进程,则会衍生随机病毒名文件到%TEMP%临时目录下,动态加载衍生的随机病毒名文件,调用病毒DLL模块HHHH来设置钩子,通过消息钩子截取魔兽世界游戏账号密码,将截取的游戏账号密码以email和URL方式发送到病毒作者地址中。


安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页: [1]
查看完整版本: 2010年7月22日【大话木马强行结束游戏进程衍生病毒】