倩女幽魂盗号木马
trojan-psw.win32.onlinegames.esny
捕获时间
2012-09-18
危害等级
中
病毒症状
该样本是使用“c\c ”编写的“倩女幽魂盗号木马”,由微点主动防御软件自动捕获,采用“upx”加壳,企图避过杀软扫描,加壳后长度为“51,626”字节,图标为“
”,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是盗取用户的密码和帐号等信息。当用户计算机感染此木马病毒后, 会出现“倩女幽魂”游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象,最终将导致虚拟财产被恶意盗取,并且发现未知进程等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-psw.win32.onlinegames.esny”,请直接选择删除(如图2)
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.卸载病毒服务提供者
"%programfiles%\common files\00000001ce.dll"
2.手动删除文件
"%programfiles%\common files\mml29015.ocx"
"%programfiles%\common files\mml99018.ocx"
"%programfiles%\common files\00000001ce.dll(前缀数字随机)"
"%systemroot%\system32\msctfime.imescuoc"
"%programfiles%\common files\win00f68dde.dll(后缀数字随机)"
3.用文件"%temp%\scuoc"替换以下文件
"%systemroot%\system32\msctfime.ime"
"%systemroot%\system32\dllcache\msctfime.ime"
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析:
1.将当前进程权限提升为"sedebugprivilege(调试特权级)"。
2.获取系统所在目录,创建文件"c:\program files\common files\mml29015.ocx",写入病毒数据。
3.获取系统所在目录,创建文件"c:\program files\common files\mml99018.ocx",写入病毒数据。
4.获取系统所在目录,创建文件"c:\program files\common files\00000001ce.dll(前缀数字随机)",写入病毒数据。
5.创建新进程,执行命令"rundll32.exe "c:\program files\common files\mml99018.ocx" pfjieaoidjglkajd"。
6.创建新进程,执行命令"rundll32.exe "c:\program files\common files\00000001ce.dll" m3"。
7.创建新进程,执行命令"rundll32.exe "c:\program files\common files\mml29015.ocx" pfjaoidjglkajd c:\sample.exe"。
8.创建进程快照,查找进程"explorer.exe",创建远程线程,将病毒文件"c:\program files\common files\mml99018.ocx"加载到该进程地址空间并执行。
9.病毒文件"c:\program files\common files\mml99018.ocx"加载执行之后:
(1)创建名字为"jahmsgo39010_rel_regamle_00002472_(后缀数字为进程id)"的互斥对象,防止重复执行。
(2)加载文件"c:\program files\common files\mml29015.ocx"到当前进程地址空间并执行。
(3)将文件"c:\windows\system32\msctfime.ime"拷贝重命名为"c:\windows\system32\msctfime.imescuoc",向文件"c:\windows\system32\msctfime.imescuoc"尾部追加病毒数据。
(4)取消对文件"c:\windows\system32\dllcache\msctfime.ime"、"c:\windows\system32\msctfime.ime"的系统保护。
(5)将文件"c:\windows\system32\dllcache\msctfime.ime"移动重命名为"c:\windows\system32\dllcache\msctfime.imescuoc"、"c:\windows\system32\msctfime.ime"移动重命名为"c:\docume~1\admini~1\locals~1\temp\scuoc",并用病毒文件"c:\windows\system32\msctfime.imescuoc"替换"c:\windows\system32\dllcache\msctfime.ime"、"c:\windows\system32\msctfime.ime",之后删除文件"c:\windows\system32\msctfime.imescuoc",并设重启删除。
10.病毒文件"c:\program files\common files\mml29015.ocx"执行之后:
(1)创建名字为"jahqnyh29015_rel_regamle_00000192_(后缀数字为进程id)"的互斥对象,防止重复执行。
(2)判断当前进程如果是"360safe.exe"、"360tray.exe"、"config.exe"则退出整个进程。
(3)开辟新线程,判断当前进程是否为"gacrunner.exe",如果是则截取游戏屏幕、监视用户输入、盗取游戏账号密码等信息发送到指定主机。
(4)将病毒文件主程序删除。
11."c:\program files\common files\00000001ce.dll"加载执行之后:
(1)查找当前进程是否为"dragonnest.exe "、"xcb.dat",如果是则将"c:\program files\common files\kernel32.dll"拷贝重命名为
"c:\program files\common files\win00f68dde.dll(后缀数字随机)",并加载"c:\program files\common files\mml29015.ocx"、"c:\program files\common files\mml99018.ocx"到当前进程地址空间。
(2)将自身作为传输服务提供者安装到系统当中,实现病毒文件无进程、无端口隐藏。
病毒创建文件:
"%programfiles%\common files\mml29015.ocx"
"%programfiles%\common files\mml99018.ocx"
"%programfiles%\common files\00000001ce.dll(前缀数字随机)"
"%systemroot%\system32\msctfime.imescuoc"
"%temp%\scuoc"
"%systemroot%\system32\dllcache\msctfime.imescuoc"
"%programfiles%\common files\win00f68dde.dll(后缀数字随机)"
病毒删除文件:
"%systemroot%\system32\msctfime.ime"
"%systemroot%\system32\dllcache\msctfime.ime"
