2009年12月28日【大话西游盗号木马查找进程截取密码】
以下是2009年12月28日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.======================================================================================================
安天实验室每日病毒预警
一、“大话木马”(Trojan/Win32.WOW.vno)威胁级别:★★★★
该病毒文件为大话西游游戏盗号木马,病毒运行后创建t322025.ini到%System32%目录下,衍生随机病毒名文件到临时目录下,遍历进程查找AVP.EXE进程,如果进程存在则拷贝rundll32.exe一份重命名名为t322025.exe,调用CMD命令使用重命名的t322025.exe文件(原文件名rundll32.exe)启动临时目录下的病毒文件,如进程不存在则直接使用rundll32.exe启动临时目录下的病毒文件,临时目录下的病毒文件被启动后对进程进行提权操作,判断自身进程是否为svchost.exe,如不是则退出,如是则衍生病毒DLL文件到%System32%目录下,拷贝rpcss.dll系统文件为t3rpcss.dll,将病毒DLL文件注入到EXPLORER.EXE进程中,病毒DLL查找含有大话西游标题和xy2_ex.exe进程的窗口,安装消息钩子截图游戏账号密码通过URL方式将账号信息发送到作者指定的地址中。
二、“控制者”(Trojan/Win32.Agent.yep)威胁级别:★★★★
该病毒文件为后门类木马,病毒运行后查找名为DVCLAL内的DLL类型的资源,找到后Load该资源信息,在病毒当前目录下衍生病毒DLL文件并将属性设置为隐藏,Load病毒DLL文件,调用病毒DLL的Install模块,遍历进程查找AVP.EXE找到后加载sfc_os.dll文件去掉对beep文件的修改提示,先将系统的beep.sys文件改名为beep.sys.tep释放beep.sys驱动文件到%drivers%目录下替换现有的文件,改驱动文件恢复SSDT绕过卡巴斯基主动防御,比较自身DLL进程路径是否为%System32%目录下的winnet.dll文件,如不是则将自身拷贝到该目录下命名成winnet.dll,添加注册表服务启动项,开启一个SVCHOST.EXE进程将病毒代码注入到该进程中连接网络进行通信,被控制的计算机会被控制者完全控制,病毒运行完毕后删除自身原文件。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
======================================================================================================
中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页:
[1]