2010年06月09日【DNF窃贼通过内存技术截取账号密码】

以下是2010年6月9日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件：avengert@antiy.net，我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“DNF窃贼”（Trojan/Win32.Vilsel.aepw）  威胁级别：★★★★
     该恶意代码文件为DNF游戏盗号木马，病毒运行之后衍生病毒文件到%System32%目录下命名为2tgfsddaew4refdsd.ime（该后缀名文件为输入法文件）并将该文件改名为随机名*.drv（该后缀名文件为设备驱动程序）后缀名文件，然后再次创建一个2tgfsddaew4refdsd.ime到该目录下，调用输入法API函数来安装创建的病毒文件伪装成（中文(简体)-智能CBA），因为DNF游戏有Tenprotect网游反外挂引擎保护无法正常将DLL注入到该游戏进程中，所以病毒利用该手段通过用户切换输入法方式将病毒DLL注入进游戏进程中，衍生2个DLL文件之后，查找类名"TWINCONTROL"标题名为“地下城与勇士”、“地下城勇士”的窗口，找到之后向该窗口发送关闭消息，调用"rundll32.exe"来加载2tgfsddaew4refdsd.ime文件，将病毒文件注入到Explorer.exe、conime.exe进程中，释放批处理文件删除病毒原文件，病毒DLL文件分析：判断自身模块是否在DNF进程中，并获取DNF窗口相关信息，通过内存技术截取账号密码，将获取的账号密码发送到作者指定的地址中。

二、“记录间谍”（Trojan/Win32.KeyLogger.fpv[Spy]）  威胁级别：★★★★
     该病毒图标为jpg格式文件图标；该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件；病毒运行后衍生病毒文件到%Windir%目录下，衍生图片文件到%Windir%\temp下，用以迷惑用户；修改注册表添加启动项，使病毒文件随机启动；病毒运行后记录当前用户的键盘操作，保存到%Windir%目录下的winhlp32.hlp文件中；连接FTP服务器，将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。

安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新；如未安装安天防线，可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址：哈尔滨898邮政信箱
邮政编码：150006
Welcome to visit Antiy Labs
中文站 ：http://www.antiy.com
English：http://www.antiy.net