捕獲時間
2009-2-5
病毒摘要
該樣本是使用“C語言”編寫的盜號木馬,由微點主動防御軟件自動捕獲,長度為“124,291 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“網頁掛馬”、“文件捆綁”、“下載器下載”等方式傳播,病毒主要目的為盜取“游戲橘子”臺灣網站用戶的“用戶名”及“密碼”。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-PSW.Win32.OnLineGames.dckf”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,遍歷系統進程,若存在AVP.exe,則將在系統目錄“%SystemRoot%\system32\Drivers”釋放其驅動文件“cdaudio.sys”。修改注冊表,將“cdaudio.sys”設置為服務項,相關注冊表如下:
| |
鍵:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys”
值:“Type”
數據:“Driver service”
值:“Start”
數據:“SERVICE SYSTEM START”
值:“ImagePath”
數據:“\??\C:\WINDOWS\system32\drivers\cdaudio.sys” |
|
加載驅動,恢復SSDT,使部分殺毒軟件主動防御功能失效,隨后刪除驅動文件“cdaudio.sys”與相應注冊表項。
將自身復制至系統目錄“%SystemRoot%\system32”并重命名為“kavo.exe”,并釋放其動態庫文件“kavo0.dll”,修改注冊表,將
“kavo.exe”設置為自啟動項,相關注冊表項如下。
| |
鍵:“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”
值:“kava”
數據:“C:\WINDOWS\system32\kavo.exe” |
|
所釋放文件將被設置為“系統”、“隱藏”屬性。
病毒將在系統“explorer.exe”中申請內存空間,將代碼寫入,建立遠程線程,通過內存讀取,當用戶瀏覽以下網址時,病毒將監控用戶的IEFrame輸入框,獲取用戶輸入的“用戶名”及“密碼”:
| |
https://tw.goodlock.gamania.com/index.aspx
https://tw.gash.gamania.com/GASHLogin.aspx
https://tw.gash.gamania.com/UpdateMainAccountPassword.aspx
https://tw.gash.gamania.com/Upda ... .aspx?ServiceCod...
https://tw.event.gamania.com/LineageEvent/CachetSMS/SMS_1.asp
https://tw.event.gamania.com/LineageEvent/CachetSMS/SMS_3.asp |
|
成功獲取后,將通過網頁收信方式,發送至黑客指定頁面。
