盗号木马Trojan-PSW.Win32.OL-Game.cvp该病毒是使用Delphi编写的盗号程序,由微点主动防御软件自动捕获,采用Upack加壳方式试图躲避特征码扫描,加壳后长度为30,699字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
病毒分析
该木马程序被激活后,在目录%programfiles%下释放文件iwtel.exe;修改%systemroot%\system32\drivers\etc目录下hosts文件;通过API函数WinExec运行病毒程序iwtel.exe;以批处理的形式将自身删除。
Quote:
hosts文件内容:
127.0.0.1 localhost
127.0.0.1 www.dj8910.com
127.0.0.1 user1.33225.net
127.0.0.1 wx.uuzzvv.com
127.0.0.1 dd00.2008dajiafa.cn
127.0.0.1 www.aixiaoshuo.net
127.0.0.1 b.158dm.com
127.0.0.1 c.158dm.com
127.0.0.1 a.158dm.com
127.0.0.1 c.wacsy.com/new.txt
127.0.0.1 74.5460w.cn
127.0.0.1 ww.133av.com
127.0.0.1 ddd000000.feng6.us
127.0.0.1 m.feng6.us
127.0.0.1 d.feng6.us
127.0.0.1 down002.feng6.us
127.0.0.1 down001.feng6.us
127.0.0.1 down003.feng6.us
127.0.0.1 keeppure.cn
127.0.0.1 www.music100000.cn
iwtel.exe运行后,检测系统中是否存在avp.exe进程,如果存在则通过相关API函数将%systemroot%\system32\drivers\beep.sys替换,并修改文件属性为隐藏、系统;否则在%temp%目录下释放驱动tmp*.tmp,修改文件的属性为隐藏、系统;调用SCM写注册表项将tmp*.tmp注册成名为mhfp的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件tmp*.tmp删除;
Quote:
项:HKLM\SYSTEM\CurrentControlSet\Services\mhfp\
键值:DisplayName
指向数据:mhfp
键值:ImagePath
指向文件:\??\%temp%\tmp*.tmp
键值:Start
指向数据:02
在目录%temp%下释放动态库tmp*.tmp,修改文件属性为隐藏、系统;通过API函数LoadLibraryA将tmp*.tmp加载运行;遍历进程查找360safe.exe、360tray.exe、kppmain.exe、kwatch.exe并将其关闭;动态库运行后拷贝自身到%systemroot%\system32目录下,重命名为msosmhfp**.dll;修改如下注册表键值使进程都自动加载动态库msosmhfp**.dll;通过相关API函数获取动态库所在模块名称,与梦幻西游my.exe进行比较,如果是则通过读取其内存获取网络游戏账号和密码以及其它私人信息,以收信空间的形式发送给木马种植者;
Quote:
项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
键值:AppInit_Dlls
指向数据:%systemroot%\system32\msosmhfp**.dll
在目录%systemroot%\system32\drivers目录下释放驱动msosfpids32.sys,修改文件属性为隐藏、系统;调用SCM写注册表项将msosfpids32.sys注册成名为fpids32的服务,通过相关函数启动被注册的服务加载驱动;以命令行的方式将病毒程序iwtel.exe删除。
Quote:
项:HKLM\SYSTEM\CurrentControlSet\Services\fpids32\
键值:DisplayName
指向数据:fpids32
键值:ImagePath
指向文件:\??\%systemroot%\system32\drivers\msosfpids32.sys
键值:Start
指向数据:02
驱动beep.sys、tmp*.tmp、msosfpids32.sys的作用是:钩取系统服务MDL,当由内存描述符表分配进程空间时,将msosmhfp**.dll写入到每个新创建的进程空间中;
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“未知间谍软件”,请直接选择删除处理
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" Trojan-PSW.Win32.OL-Game.cvp”,请直接选择删除。
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
www.newjian.com
您的位置: