“刀劍”盜號木馬
Trojan-PSW.Win32.OnLineGames.enec
捕獲時間
2011-02-19
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的"刀劍"盜號程序,由微點主動防御軟件自動捕獲����,采用"UPX"加殼方式試圖躲避特征碼掃描,加殼后長度為“29,752”字節,圖標為“
”���,病毒擴展名為“exe”,主要通過“文件捆綁”���、“下載器下載”����、“網頁掛馬”等方式傳播,病毒主要目的是盜取網游"刀劍"的"賬號"���、"密碼"信息。
用戶中毒后,會出現系統運行緩慢、存在大量未知可疑進程�、網游"刀劍"的賬號密碼信息被盜丟失等現象���。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁�、網頁掛馬��、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶��,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本�����,微點主動防御都能夠有效清除該病毒�����。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜”�����,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-PSW.Win32.OnLineGames.enec”�,請直接選擇刪除(如圖2)��。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.安全模式下刪除以下文件:
%SystemRoot%\system32\msctfime.iem
%SystemRoot%\system32\dbr19008.ocx
%SystemRoot%\system32\gbvgbv19.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄�����,通常為:“C:\ProgramFiles”
病毒分析
1.該樣本運行后�,打開自身進程令牌句柄����,將進程提權到"SeDebugPrivilege"權限。
2.獲取本機臨時目錄路徑����,從自身資源中釋放不完整的動態鏈接庫文件00074F37mdd.temp����、0007637Amdd.temp(隨機命名)到本機臨時目錄下�����。
3.打開病毒自身文件�����,讀取文件末尾的標識字段并判斷標識的完整性����,若標識完整則從自身讀取內容并修改動態鏈接庫文件00074F37mdd.temp���、0007637Amdd.temp��,將文件修改成完整的動態鏈接庫文件。
4.獲取本機系統目錄���,將臨時目錄下的動態鏈接庫文件00074F37mdd.temp、0007637Amdd.temp移動到%SystemRoot%\system32文件下����,并分別更名為msctfime.iem�、dbr19008.ocx���。
5.創建本機進程快照�����,查找explorer.exe進程�����,并創建遠線程注入動態鏈接庫msctfime.iem到該進程中。
6.將系統文件%SystemRoot%\system32\rundll32.exe復制為%SystemRoot%\system32\gbvgbv19.exe���。
7.創建進程以命令行方式用gbvgbv19.exe文件加載動態鏈接庫文件dbr19008.ocx的導出函數"pfjaoidjglkajd",之后樣本退出�����。
8.動態鏈接庫文件dbr19008.ocx加載后���,將自身進程提權到"SeDebugPrivilege"權限���。
9.創建進程快照查找進程名為"bo.exe"����、"刀劍online.exe"�����、"boonline.exe"(網游"刀劍"進程名)����,若找到則將其強行關閉�。
10.查找窗口名為"刀劍ONLINE",窗口類名為"Afx:400000:3:10011:1900011:0"的窗口,若找到則發送消息結束該窗口�。
11.通過之前啟動命令行的參數中的病毒源文件路徑�,將病毒源文件刪除�����。
12.動態鏈接庫文件msctfime.iem被注入到explorer.exe進程后����,創建名為"gbv_regamle_xxxxxxxx_"的互斥體對象��,防止重復運行����。
13.獲取自身所注入進程路徑����,并驗證所注入進程是否是explorer.exe進程��。
14.創建線程,線程創建后利用創建鍵盤鉤子和截屏等方法用以獲取網游的賬號密碼�����,并將所盜取信息發送到黑客指定遠端地址�����。
病毒創建文件:
%temp%\00074F37mdd.temp(隨機命名)
%temp%\0007637Amdd.temp(隨機命名)
%SystemRoot%\system32\msctfime.iem
%SystemRoot%\system32\dbr19008.ocx
%SystemRoot%\system32\gbvgbv19.exe
