盜號木馬
Trojan-PSW.Win32.OnLineGames.eoaw
捕獲時間
2011-05-29
危害等級
中
病毒癥狀
該樣本是使用“MFC”編寫的盜號木馬程序,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為長度為“44,032 字節”,圖標為“
”,病毒擴展名為“.exe”,病毒主要通過“文件捆綁”、“下載器下載”,“網頁掛馬”等方式傳播,病毒主要目的盜取用戶游戲賬號、截獲用戶資料,用戶中毒后將出現系統運行緩慢,出現未知進程。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-PSW.Win32.OnLineGames.eoaw”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件
%SystemRoot%\system32\ifowlw.dat
%SystemRoot%\system32\lxiiek1.dat
%SystemRoot%\system32\lxiiek2.dat
%SystemRoot%\system32\lxiiek3.dat
%SystemRoot%\system32\lxiiek4.dat
%SystemRoot%\system32\lxiiek5.dat
%ProgramFiles%\xjielm\
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
(1),創建進程快照,遍歷查找進程"360tray.exe"、"ravmond.exe"、"qqpctray.exe"進程,若找到則分別標志。
(2),判斷是否存在%SystemRoot%\system32\ifowlw.dat,如果有則退出程序,用該文件來標示本機是否運行過病毒。
(3),在系統目錄下分別創建文件"lxiiek1.dat"、"lxiiek2.dat"、"lxiiek3.dat"、"lxiiek4.dat"、"lxiiek5.dat",將配置信息拆分后分別寫入到所創建的五個文件中,并設置為隱藏屬性。
(4),創建目錄"%ProgramFiles%\xjielm\",并在此目錄下創建xvzgnwowz.dll(名稱隨機),釋放病毒代碼到此文件中。
(5),通過調用LSP系統函數WSCEnumProtocols、WSCInstallProvider、WSCWriteProviderOrder安裝xvzgnwowz.dll到系統網絡協議鏈中,更新所有服務提供者的安裝順序,把自定義的服務提供者排在所有協議的最前列,此時所有基于winsock實現的程序都會加載xvzgnwowz.dll。
(6),如果發現(1)中存在的進程,則直接退出程序,否則刪除自身后退出程序。
(7),通過WSP系列WSPSend()函數等截取用戶游戲賬號密碼、網絡數據發送給黑客。
病毒創建文件:
%SystemRoot%\system32\ifowlw.dat
%SystemRoot%\system32\lxiiek1.dat
%SystemRoot%\system32\lxiiek2.dat
%SystemRoot%\system32\lxiiek3.dat
%SystemRoot%\system32\lxiiek4.dat
%SystemRoot%\system32\lxiiek5.dat
%ProgramFiles%\xjielm\xvzgnwowz.dll(名稱隨機)
病毒訪問網絡:
www.tsr**.com:88/ll/laoban
www.tsr**.com:88/12
