捕獲時間
2009-3-18
病毒摘要
該樣本是使用VC編寫的盜號木馬,由微點主動防御軟件自動捕獲����,采用Upack加殼方式,企圖躲避特征碼掃描,加殼后長度為17,941 字節����,圖標為“
”����,病毒擴展名為“exe”�,主要通過“文件捆綁”�����、“下載器下載”���、“網頁木馬”等方式傳播����,病毒主要目的為盜取游戲帳號����。
用戶中毒后,會出現游戲無故關閉�����,輸入帳號���、密碼時游戲運行緩慢的現象�����,最終將導致虛擬財產被黑客盜取��。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
文件捆綁、下載器下載、網頁木馬
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置�,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�。無論您是否已經升級到最新版本���,微點主動防御都能夠有效清除該病毒����。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”����,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本��,微點將報警提示您發現"Trojan-PSW.Win32.Magania.jqr”����,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶��,微點反病毒專家建議:
1���、不要在不明站點下載非官方版本的軟件進行安裝�,避免病毒通過捆綁的方式進入您的系統。
2�����、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺��,并開啟防火墻攔截網絡異常訪問�,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持����。
3�����、開啟windows自動更新�����,及時打好漏洞補丁��。
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\system32\HBKDXY.dll
%SystemRoot%\system32\System.exe
2�、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
值:HBService32
數據:System.exe
變量聲明:
%SystemDriver% 系統所在分區�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄��,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾��,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄����,通常為:“C:\ProgramFiles”
病毒分析
(1)發現���,并結束如下進程
my.exe
Client.exe
woool.dat
woool88.dat
xy2.exe
game.exe
SO2Game.exe
SO2GameFree.exe
FSOnline2.exe
gameclient.exe
elementclient.exe
asktao.mod
Wow.exe
ZeroOnline.exe
Bo.exe
Conquer.exe
soul.exe
TheWarlords.exe
china_login.mpr
blueskyclient_r.exe
xy3.exe
QQLogin.exe
DNF.exe
gc12.exe
hugemanclient.exe
HX2Game.exe
QQhxgame.exe
tw2.exe
QQSG.exe
QQFFO.exe
zhengtu.dat
mir1.dat
mir2.dat
tty3d.exe
metin2.bin
AClient.exe
gamefree.exe
xiyou.exe
(2)創建動態庫文件
(3)生成 %SystemRoot%\system32\System.exe
(4)運行System.exe�,加載動態庫文件
(5)監視鍵盤操作,截獲用戶游戲密碼,并發到指定網站
(6)創建互斥“HBInjectMutex”防止程序第二次運行
(7)刪除安全軟件注冊表啟動項
(8)創建注冊表啟動項
(9)生成批處理文件,刪除自身
病毒創建文件:
%SystemRoot%\system32\HBKDXY.dll
%SystemRoot%\system32\System.exe
%Temp%\SelfDel.bat
病毒刪除文件:
%Temp%\SelfDel.bat
病毒創建注冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\HBService32
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\360Safetray
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\360Safebox
病毒創建進程:
System.exe
病毒訪問網絡:
http://yu****sy.cn/kdxy/post.asp
http://yu****sy.cn/kdxy/x11/post.asp
