捕獲時間
2009-3-18
病毒摘要
該樣本是使用“VC”編寫的盜號木馬���,由微點主動防御軟件自動捕獲�����,長度為“22,523 字節”�����,圖標為“
”,病毒擴展名為“exe”��,主要通過“文件捆綁”���、“下載器下載”�����、“網頁掛馬”等方式傳播�,病毒主要目的為盜取網絡游戲“誅仙”的“用戶名”、“密碼”等相關信息��。
用戶中毒后���,會出現“誅仙” 游戲無故關閉�����、輸入用戶名、密碼�����、密保時游戲運行緩慢的現象���,最終將導致虛擬財產被黑客盜取�。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
文件捆綁、下載器下載���、網頁木馬
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置�,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�。無論您是否已經升級到最新版本��,微點主動防御都能夠有效清除該病毒�����。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”�,請直接選擇刪除處理(如圖1)��;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-PSW.Win32.ZxServer.a”�����,請直接選擇刪除(如圖2)����。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶�,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝��,避免病毒通過捆綁的方式進入您的系統����。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問�,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持����。
3���、開啟windows自動更新���,及時打好漏洞補丁����。
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\system32\asdm.exe
%SystemRoot%\SYSTEM32\2081734.DLL
%SystemRoot%\SYSTEM32\GameChibi.sys
2、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZXServer
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mykhelper
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下所有劫持項
變量聲明:
%SystemDriver% 系統所在分區����,通常為“C:\”
%SystemRoot% WINDODWS所在目錄���,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄��,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)首先檢查自身是否在system32目錄下,不在���,復制自身為%SystemRoot%\SYSTEM32\ASDM.EXE
(2)創建服務ZXServer,啟動%SystemRoot%\SYSTEM32\ASDM.EXE
(3) 釋放一個動態庫文件
(4)然后將動態庫文件注入到exeplorer.exe進程中
(5)釋放驅動文件: %SystemRoot%\SYSTEM32\GameChibi.sys,創建Mykhelper服務��,啟動驅動文件
(6)修改注冊表,創建映像劫持,防止計算機上的反病毒軟件運行
(7)通過監視鍵盤����,鼠標操作和讀取內存獲得密碼信息,并發送到指點網站
(8)通過查看注冊表,查看iexplore.exe路徑�,打開網頁窗口�,顯示一個警告性網頁
(9)在%Temp%目錄下創建批處理文件2083454.bat,刪除自身
病毒創建文件:
%SystemRoot%\SYSTEM32\ASDM.EXE
%SystemRoot%\SYSTEM32\2081734.DLL
%SystemRoot%\SYSTEM32\GameChibi.sys
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZXServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mykhelper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\(177項映像劫持)
