捕獲時間
2009-1-9
病毒摘要
該樣本是使用“VC”編寫的盜號木馬,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲過特征碼掃描,長度為“26,754 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“網頁掛馬”、“文件捆綁”、“誘騙用戶點擊”等方式傳播,病毒主要目的為盜取網絡游戲QQ華夏的帳號和密碼。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、誘騙用戶點擊
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-PSW.Win32.Magania.fyi”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,釋放驅動文件“b1a18a3e.sys ”至系統目錄“%SystemRoot%\system32\”下,修改注冊表,將“b1a18a3e.sys ”注冊為服務,隨后加載,相關注冊表項如下:
| |
鍵:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\b1a18a3e”
值:“Type”
數據:“SERVICE KERNEL DRIVER”
鍵:“Start”
數據:“SERVICE DEMAND START”
鍵:“ImagePath”
數據:“\??\C:\WINDOWS\system32\b1a18a3e.sys”
鍵:“DisplayName”
數據:“b1a18a3e” |
|
“b1a18a3e.sys”作用為恢復系統SSDT表,使部分安全軟件主動防御功能失效。
刪除系統目錄“%SystemRoot%\system32\”下的“verclsid.exe”文件。在系統目錄“%SystemRoot%\system32\”下生成動態庫文件“2EF0D734.dll”, “2EF0D734.dll”加載后將安裝全局消息鉤子,嘗試注入全部進程;在系統目錄“%Temp%”生成注冊表配置單元文件“liv1.tmp”,并嘗試利用注冊表配置單元文件修改注冊表,使進程“explorer.exe”以及由其啟動的進程啟動后自動加載“2EF0D734.dll”,相關注冊表如下:
| |
鍵:“HKEY_CLASSES_ROOT\CLSID\{9184057B-D51B-4C2A-B779-EB4F548E9FDA}\InProcServer32”
值:“@”
數據:“2EF0D734.dll”
鍵:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks”
值:“{9184057B-D51B-4C2A-B779-EB4F548E9FDA}”
數據:“空” |
|
生成配置文件“D7C79813.cfg”至系統目錄“%SystemRoot%\system32\”,內容如下:
| |
| 4BA3C163CD1EFD4C14E3A415FA0A30102D0000002D00000014E08224C006E54812E7A40CF505371752FB8433D57E93337BE6C0738112615212FA8F65CC06A6124DFAF251BD14E08224C006E54812E7A40CF505371752FB8433D57E93337BE6C0738112615212FA8F65CC06A6124DFAF251BD |
|
完成后利用命令行實現自刪除,命令行如下:
| |
| "C:\WINDOWS\system32\cmd.exe" /c del C:\Sample.exe >> NUL |
|
“2EF0D734.dll”加載后,將查找QQ華夏游戲進程,發現后將嘗試關閉游戲,企圖迫使用戶再次登陸,利用監控用戶鼠標、鍵盤消息,內存讀取、抓取網絡封包等方式,獲取用戶游戲用戶名、密碼、密保等相關信息,采用網頁收信方式,按照格式“re=%s&s=%s&A=%s&P=%s&MB=%s&wwwww=v&H=%s&PIN=%s&R=%s&RG=%d&M=%d&M1=%d&mac=%s&RG1=%d&Z=%s:%s”,發送至病毒種植者指定頁面。
