2009年11月23日【伪装者木马将图标伪装成360安全卫士】

以下是2009年11月23日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建

议或意见请即时发送邮件：avengert@antiy.net，我们会尽快予以答复.
       

=====================================================================================================

=
        安天实验室每日病毒预警

一、“DNF偷取者”（Trojan/Win32.Vilsel.mry[GameThief]）  威胁级别：★★★★
     该恶意代码文件为DNF游戏盗号木马，该病毒文件为初始化后病毒数据，以获取本地系统时间作为随机值来创建以kb****.dll的随机病毒名文件，删除临时目录下的~t11.tmp、~t22.tmp文件，拷贝系统imm32.dll文件到临时目录下命名为~t11.tmp并在文件尾部添加一个节名为.ss32向该节写入485字节数据，备份系统imm32.dll文件，动态加

载"sfc_os.dll"系统文件，调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护，将imm32.dll拷贝到临时

目录下命名为~t22.tmp，然后将病毒修改后的~t11.tmp拷贝到系统目录下替换现有的imm32.dll系统文件，以系统库

文件开自动加载病毒文件，删除~t11.tmp文件，拷贝病毒源文件到系统目录下命名为kb118151019.dll，匹配所有进

程中的0040728C内存地址的数据是否与病毒查找的数据匹配，如果找到则强行结束其进程，释放BAT批处理文件删除

病毒源文件，查找含有“提示码”的窗口找到之后通过读取内存地址数据获取游戏账号密码信息，以上条件成立后

读取游戏目录的.\start\usersetting.ini配置文件获取用户所在服务器相关信息，截取含有windows 图片和传真查

看器、画图、acdsee、internet explorer的窗口，找到包含以上标题的窗口后自动截取并保存到临时目录下命名为

tmpimg2.jpg、tmpimg2.bmp，将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中。

二、“伪装者”（Trojan/PSW.Win32.QQPass.acte[Stealer]）  威胁级别：★★★★
    该文件为.scr包裹文件，图标伪装成图片文件，该包裹文件运行后会弹出一个图片文件并在后台隐藏释放病毒

文件和批处理文件，释放之后先运行批处理文件一旦运行后将强行结束QQ进程，病毒文件为易语言编写，图标伪装

成360安全卫士软件，采用了VMprotect加密工具进行了加密处理，病毒文件运行后释放run.cmd到%System32%目录下

，调用run.cmd文件先使用批处理添加注册表启动项，最后删除run.cmd文件，该病毒文件不衍生DLL文件创建自身进

程后台监视QQ进程与聊天窗口通过键盘记录等手段获取QQ账号密码，通过URL方式发送到作者指定的地址中。


安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进

行升级、遇到问题要上报，这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新；如未安装安天防线，可以登录http://www.antiyfx.com免

费下载最新版安天防线来防止病毒入侵。
       

=====================================================================================================

=



中国安天实验室
通讯地址：哈尔滨898邮政信箱
邮政编码：150006
Welcome to visit Antiy Labs
中文站 ：http://www.antiy.com
English：http://www.antiy.net