盜號木馬
Trojan-PSW.Win32.Magania.gi
捕獲時間
2009-10-5
危害等級
中
病毒癥狀
該樣本是使用“VC”編寫的盜號木馬,由微點主動防御軟件自動捕獲,長度為“124,594 字節(jié)”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”等方式傳播,病毒主要目的為盜取虛擬財產(chǎn)帳號密碼信息。
用戶中毒后,會出現(xiàn)360反病毒軟件無法正常使用、網(wǎng)絡速度降低、虛擬財產(chǎn)無故被盜等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)"Trojan-PSW.Win32.Magania.gi”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%TEMP%\INDEX.EXE
[360安裝目錄]\deepscan\360deepscan.exe
[360安裝目錄]\deepscan\360wservice.dll
%TEMP%\tmp\360deepscan.exe
%TEMP%\tmp\360wservice.dll
%Documents and Settings%\Local User\ntuser.dll
2、手動刪除以下注冊表值:
鍵: HKEY_LOCAL_MACHINE\SYSTEM\CurrnetControlSet\Services\6to4
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)創(chuàng)建目錄%Documents and Settings%\Local User,并設置該目錄為隱藏。
(2)檢測注冊表中360Safe的相關鍵值,如果找到,則釋放文件%TEMP%\INDEX.EXE,設置該文件屬性為隱藏,并執(zhí)行INDEX.EXE。
執(zhí)行INDEX.EXE后,該程序會創(chuàng)建一個線程,循環(huán)檢測當前窗口標題含有360相關關鍵字的窗口,一旦找到,將其窗口銷毀,使用
戶不能正常使用360反病毒軟件。
(3)設置下次系統(tǒng)重啟刪除360安裝目錄下的deepscan目錄,釋放文件%TEMP%\tmp\360deepscan.exe和%TEMP%\tmp\360wservice.dll,
并將這兩個文件復制到360安裝目錄的deepscan目錄下,將病毒代碼寫入該文件,并將該目錄下的deepscan.dll文件設為隱藏。
(4) 解密自身資源,查詢注冊表鍵"NetSvcs"對應的服務,如果找到,則創(chuàng)建名為"6to4"的服務,并啟動。
(5) 釋放動態(tài)鏈接庫%Documents and Settings%\Local User\ntuser.dll,設置該文件為隱藏,并通過服務的方式加載該動態(tài)鏈接庫。
(6)安裝消息鉤子,獲取用戶按鍵記錄,試圖盜取用戶虛擬財產(chǎn)相關帳號密碼信息,并將獲取的信息通過網(wǎng)絡發(fā)送到指定地址。
病毒創(chuàng)建文件:
%TEMP%\INDEX.EXE
[360安裝目錄]\deepscan\360deepscan.exe
[360安裝目錄]\deepscan\360wservice.dll
%TEMP%\tmp\360deepscan.exe
%TEMP%\tmp\360wservice.dll
%Documents and Settings%\Local User\ntuser.dll
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrnetControlSet\Services\6to4
