"DNF"盜號木馬
Trojan-PSW.Win32.Magania.rwc
捕獲時間
2011-05-17
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的木馬程序,由微點主動防御軟件自動捕獲,采用"Upack"加殼方式試圖躲避特征碼掃描,加殼后長度為“34,532”字節(jié),圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”等方式傳播,病毒主要目的是盜取網(wǎng)游"DNF"的游戲"游戲"、"賬號"信息。
用戶中毒后,會出現(xiàn)系統(tǒng)運行緩慢、存在大量未知可疑進程、網(wǎng)游"DNF"的游戲"游戲"、"賬號"信息被盜、丟失等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)木馬"Trojan-PSW.Win32.Magania.rwc”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動結(jié)束本機中可疑的"rundll32.exe"進程
2.刪除以下文件:
%SystemRoot%\system32\viewwl.dat
%SystemRoot%\system32\ijvjfl1.dat
%SystemRoot%\system32\ijvjfl2.dat
%SystemRoot%\system32\ijvjfl3.dat
%SystemRoot%\system32\ijvjfl4.dat
%SystemRoot%\system32\ijvjfl5.dat
%ProgramFiles%\dnf\ijvjfl1.dat
%ProgramFiles%\dnf\ijvjfl2.dat
%ProgramFiles%\dnf\ijvjfl3.dat
%ProgramFiles%\dnf\ijvjfl4.dat
%ProgramFiles%\dnf\ijvjfl5.dat
%SystemRoot%\system32\btthwqman.dlll(隨機命名)
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.改樣本運行之后,創(chuàng)建進程快照查找進程"360tray.exe"、"ravmond.exe"、"qqpctray.exe"進程,若找到則記錄下其進程標示id.
2.獲取系統(tǒng)路徑,嘗試打開系統(tǒng)路徑下名為"viewwl.dat"文件,若打開失敗則創(chuàng)建,用該文件來標示本機是否運行過病毒。
3.在系統(tǒng)目錄下分別創(chuàng)建文件"ijvjfl1.dat"、"ijvjfl2.dat"、"ijvjfl3.dat"、"ijvjfl4.dat"、"ijvjfl5,.dat",將配置信息拆分后分別寫入到所創(chuàng)建的五個文件中。
4.若發(fā)現(xiàn)步驟1中的所查找的進程存在,則創(chuàng)建目錄"%ProgramFiles%\dnf",并在該文件夾下釋放動態(tài)鏈接庫文件"btthwqman.dll"(隨機命名),若所查找進程不存在,則將該動態(tài)呢鏈接庫文件釋放到%SystemRoot%\system32文件夾下。
5.創(chuàng)建進程運行系統(tǒng)文件rundll32.exe,以附加命令行方式加載動態(tài)鏈接庫文件"btthwqman.dll"并運行該動態(tài)鏈接庫的導(dǎo)出函數(shù)"Porn"函數(shù)。
6.創(chuàng)建進程運行系統(tǒng)文件cmd.exe,以附加命令方式刪除病毒源文件。
7.動態(tài)鏈接庫文件"btthwqman.dll"運行后,初始化socket,并從"ijvjfl1.dat"等文件中讀取配置信息。
8.創(chuàng)建系統(tǒng)快照,查找"dnf.exe"、"chinadnf.exe"進程。
9.通過創(chuàng)建全局鍵盤鉤子,以及截屏等方法,盜取游戲"賬號""密碼"信息,并發(fā)送到黑客指定遠端地址。
病毒創(chuàng)建文件:
%SystemRoot%\system32\viewwl.dat
%SystemRoot%\system32\ijvjfl1.dat
%SystemRoot%\system32\ijvjfl2.dat
%SystemRoot%\system32\ijvjfl3.dat
%SystemRoot%\system32\ijvjfl4.dat
%SystemRoot%\system32\ijvjfl5.dat
%ProgramFiles%\dnf\ijvjfl1.dat
%ProgramFiles%\dnf\ijvjfl2.dat
%ProgramFiles%\dnf\ijvjfl3.dat
%ProgramFiles%\dnf\ijvjfl4.dat
%ProgramFiles%\dnf\ijvjfl5.dat
%SystemRoot%\system32\btthwqman.dlll(隨機命名)
病毒訪問網(wǎng)絡(luò):
58.***.33.***:54***/f/w***
