东方微点-ag旗舰厅首页

捕获时间

2008-12-21

病毒摘要

该样本是使用“vc ”编写的传奇世界盗号木马，由微点主动防御软件自动捕获，采用“upx”加壳方式，企图躲过特征码扫描，长度为“26,252 字节”，图标为“”，病毒扩展名为“exe”，主要通过“网页挂马”、“文件捆绑”、“诱骗用户点击”等方式传播，病毒主要目的为盗取网络游戏传奇世界的帐号和密码。



感染对象

windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“可疑程序”，请直接选择删除处理（如图1）；

          图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"trojan-psw.win32.magania.fft”，请直接选择删除（如图2）。

          图2   微点主动防御软件升级后截获已知病毒

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
3、开启windows自动更新，及时打好漏洞补丁。

病毒分析

　　该样本程序被执行后，释放驱动文件“b1a18a3e.sys ”至系统目录“%systemroot%\system32\”下，修改注册表，将“b1a18a3e.sys ”注册为服务，随后加载，相关注册表项如下：

　　“b1a18a3e.sys”作用为恢复系统ssdt表，使部分安全软件主动防御功能失效。
　　删除系统目录“%systemroot%\system32\”下的“verclsid.exe”文件。在系统目录“%systemroot%\system32\”下生成动态库文件“4d023de9.dll”， “4d023de9.dll”加载后将安装全局消息钩子，尝试注入全部进程；在系统目录“%temp%”生成注册表配置单元文件“liv3.tmp”，并尝试利用注册表配置单元文件修改注册表，使进程“explorer.exe”以及由其启动的进程启动后自动加载“4d023de9.dll”，相关注册表如下：

　　生成配置文件“d7c79813.cfg”至系统目录“%systemroot%\system32\”，内容如下：

　　完成后利用命令行实现自删除。
　　“4d023de9.dll”加载后，将遍历传奇世界游戏进程，发现后将尝试关闭游戏，企图迫使用户再次登陆，利用监控用户鼠标、键盘消息，内存读取、抓取网络封包等方式，获取用户游戏用户名、密码、密保等相关信息，采用网页收信方式，按照格式“re=%s&s=%s&a=%s&p=%s&mb=%s&wwwww=v&h=%s&pin=%s&r=%s&rg=%d&m=%d&m1=%d&mac=%s&rg1=%d&z=%s:%s”，发送至病毒种植者指定页面。