魔獸世界盜號木馬
Trojan-PSW.Win32.OnLineGames.z
捕獲時間
2011-02-11
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的木馬程序,由微點主動防御軟件自動捕獲,采用"upx"加殼方式試圖躲避特征碼掃描,加殼后長度為“34,736”字節,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的是盜取網游"魔獸世界"的"賬號""密碼"信息。
用戶中毒后,會出現系統運行緩慢、存在大量未知可疑進程、網游"魔獸世界"的"賬號""密碼"信息被盜丟失等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“可疑程序”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-PSW.Win32.OnLineGames.z”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件:
游戲安裝目錄\lpk.dll
游戲安裝目錄\sysText.dll
游戲安裝目錄\syslpk.dll
2.清空系統臨時文件夾
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.該樣本運行后,創建名為"wowasdfasdf"互斥體對象,防止重復運行。
2.提權自身進程到"SeDebugPrivilege"權限。
2.查詢以下注冊項,用于獲取網游"魔獸世界"的安裝路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Blizzard Entertainment\World of Warcraft
名稱:InstallPath
3.成功獲得游戲安裝路徑之后,將系統文件%SystemRoot%\system32\lpk.dll復制到游戲目錄下,并更名為syslpk.dll。
4.釋放動態鏈接庫文件lpk.dll、sysText.dll到游戲安裝目錄下,并設置文件屬性為系統隱藏。
5.通過劫持系統文件lpk.dll的方法,使游戲優先加載游戲目錄下的病毒文件lpk.dll。
6.若通過注冊表未查找到游戲安裝目錄,則釋放動態鏈接庫文件57218640.dll(隨機命名)到系統臨時目錄下。
7.加載動態鏈接庫57218640.dll,調用其導出函數建立全局鉤子,注入該動態鏈接庫到所有進程。
8.57218640.dll注入到所有進程之后,判斷宿主進程是否為游戲進程,若是則通過掛鉤關鍵函數,讀取內存等方式盜取游戲賬號密碼。
9.病毒文件lpk.dll被加載后,通過掛鉤游戲關鍵函數,讀取內存的方式盜取游戲賬號密碼,并將盜取信息發送到黑客指定網址。
病毒創建文件:
游戲安裝目錄\lpk.dll
游戲安裝目錄\sysText.dll
游戲安裝目錄\syslpk.dll
%Temp%\57218640.dll
