天龍八部盜號程序
Trojan-PSW.Win32.OnLineGames.emwl
捕獲時間
2010-12-20
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的木馬程序,由微點主動防御軟件自動捕獲��,采用"upx"加殼方式試圖躲避特征碼掃描,加殼后長度為“29,766”字節���,圖標為“
”��,病毒擴展名為“exe”�,主要通過“文件捆綁”���、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的是盜取網游天龍八部的"賬號""密碼"。
用戶中毒后��,會出現系統運行緩慢�����、存在大量未知可疑進程�、天龍八部游戲無故關閉�、天龍八部游戲"賬號""密碼"被盜等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬�、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶�����,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒�。如果您沒有將微點主動防御軟件升級到最新版����,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-PSW.Win32.OnLineGames.emwl”,請直接選擇刪除(如圖2)����。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
(1)手動刪除以下注冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:SVCH0SAT
數據:c:\windows\system32\SVCH0SAT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名稱:Ps
數據:c:\windows\system32\imetlws.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名稱:Ps
數據:c:\windows\system32\imetlws.exe
(2)手動刪除以下文件:
%SystemRoot%\system32\SVCH0SAT.EXE
%SystemRoot%\system32\caewnt.dl
%SystemRoot%\system32\imetlbb.dll
%SystemRoot%\imetlws.exe
%SystemRoot%\system32\imetlws.exe
%SystemDriver%\mxdos.sys
變量聲明:
%SystemDriver% 系統所在分區��,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)該樣本運行后����,獲取自己程序路徑��,判斷自身是否是%SystemRoot%\system32\SVCH0SAT.EXE。
(2)如果不是����,則創建進程快照枚舉進程����,嘗試查找進程SVCH0SAT.EXE并強行關閉�。
(3)在%Temp%文件夾下創建并運行批處理~god2.bat,將自身復制到%SystemRoot%\system32\目錄下更名為SVCH0SAT.EXE�����,刪除自身原程序���,刪除批處理~god2.bat,并運行SVCH0SAT.EXE����。
(4)SVCH0SAT.EXE運行后���,創建互斥體對象�,防止重復運行����。操作以下注冊表項目���,達到SVCH0SAT.EXE的開機啟動:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:SVCH0SAT
數據:c:\windows\system32\SVCH0SAT.EXE
(5)接著從自身資源中釋放動態鏈接庫caewnt.dl�����、imetlbb.dll到%SystemRoot%\system32\目錄下�����,并將自身提權到"SeDebugPrivilege"權限。
(6)查找類名為"TianLongBaBu WndClass"的窗口(天龍八部游戲窗口)���,若找到則將其進程強行關閉。
(7)設置定時器��,重復查找類名為"TianLongBaBu WndClass"的窗口�����,若找到則將imetlbb.dll動態鏈接庫注入到其進程中����;重復查找類名為"Maxthon2_Frame"����、"IEFrame"、"_____TTFrameWnd__101__"等瀏覽器的窗口�����,若找到則將caewnt.dl注入到其進程中���。
(8)Imetlbb.dll被注入到游戲進程中后�����,通過內存讀寫與掛鉤進程內函數的方法,盜取游戲的"賬號""密碼"信息,并將信息寫入到創建在 %SystemDriver%目錄下的mxdos.sys文件中;caewnt.dl被注入到瀏覽器后���,從mxdos.sys文件中讀取盜取的信息,并發送到黑客指定的地址。
(9)最后該樣本從自身資源釋放文件imetlws.exe到%SystemRoot%目錄下����,運行imetlws.exe并退出�。
(10)Imetlws.exe運行后�����,創建事件對象防止重復運行���,之后從自身資源釋放動態鏈接庫Ps.dll到%SystemRoot%目錄下�。
(11)加載Ps.dll�,調用其導出函數PlayWork,創建全局鉤子,用以攔截用戶鍵盤消息���,并將獲取的信息發送到黑客指定的網址。
(12)將自身復制到%SystemRoot%\system32目錄下,并操作以下注冊表項����,達到imetlws.exe的開機啟動:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名稱:Ps
數據:c:\windows\system32\imetlws.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名稱:Ps
數據:c:\windows\system32\imetlws.exe
病毒創建文件:
%SystemRoot%\system32\SVCH0SAT.EXE
%Temp%\~god2.bat
%SystemRoot%\system32\caewnt.dl
%SystemRoot%\system32\imetlbb.dll
%SystemRoot%\system32\imetlws.exe
%SystemRoot%\imetlws.exe
%SystemDriver%\mxdos.sys
病毒刪除文件:
病毒自身
%Temp%\~god2.bat
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:SVCH0SAT
數據:c:\windows\system32\SVCH0SAT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名稱:Ps
數據:c:\windows\system32\imetlws.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名稱:Ps
數據:c:\windows\system32\imetlws.exe
病毒訪問網絡:
http://1**.12.1**.49:3***/t.asp
