魔獸世界、地下城與勇士等游戲盜號木馬
Trojan-PSW.Win32.OnLineGames.eshr
捕獲時間
2012-08-14
危害等級
中
病毒癥狀
該樣本是使用“C\C ”編寫的盜號木馬,由微點主動防御軟件自動捕獲,采用“UPX”加殼,企圖避過殺軟掃描,加殼后長度為“39,936”字節,圖標為“
”,使用“exe”擴展名,通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播。病毒主要目的是盜取用戶的密碼和帳號等信息。當用戶計算機感染此木馬病毒后, 會出現“魔獸世界、地下城與勇士”等游戲無故關閉、輸入用戶名、密碼、密保時游戲運行緩慢的現象,最終將導致虛擬財產被惡意盜取,并且發現未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-PSW.Win32.OnLineGames.esfr”,請直接選擇刪除(如圖2)
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動停止并刪除服務
"xMOZ3GH.sys"
2.手動刪除文件
"C:\WINDOWSxMOZ3GH.sys(字符串xMOZ3GH隨機)"
"%SystemRoot%\system32\WinSocketA.dll"
"%Temp%\3K6Rk6GD.pif(文件名隨機)"
"%SystemRoot%\system32\winxp.ini"
3.手動刪除鍵值項
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs"
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.創建名字為"LJKIJIJIijilsdfe"的互斥對象,防止重復運行。
2.創建文件"C:\WINDOWSxMOZ3GH.sys(字符串xMOZ3GH隨機)",寫入病毒數據。
3.打開服務控制管理器,創建名字"xMOZ3GH.sys"的服務,執行映像指向"C:\WINDOWSxMOZ3GH.sys",之后啟動此服務。
4.創建進程快照,查找并結束進程"Nsavsvc.npc"、"ALYac.aye"、
"SystemMon.exe"、"SkyMon.exe"、"nsvmon.npc"、"nvc.npc"、
"nvcagent.npc"、"pcotp.exe"、"AYServiceNT.aye"、
"AYAgent.aye"、"v3lsvc.exe"、"sgsvc.exe"、"NSVMON.NPC"、"NaverAgent.exe"。
5.獲取系統目錄,創建文件"C:\WINDOWS\system32\WinSocketA.dll",寫入病毒數據。
6.枚舉當前可用的網絡協議信息,并將"C:\WINDOWS\system32\WinSocketA.dll"作為傳輸提供者安裝到當前系統。
7.設置鍵值項"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" = "C:\WINDOWS\system32\WinSocketA.dll",將病毒隨系統啟動注入到所有進程地址空間。
8.刪除文件"C:\WINDOWSxMOZ3GH.sys"。執行命令"C:\WINDOWS\system32\cmd.exe /c del "病毒主程序"",將病毒文件自身刪除。
9. "C:\WINDOWS\system32\WinSocketA.dll"加載之后,獲取當前進程信息:
(1)如果當前進程是以下進程,則開辟新線程,讀取游戲配置文件,盜取用戶信息并發送到指定的地址。
"dnf.exe"、"MpapleStory.exe"、"lin.bin"、"ff2client.exe"、"heroes.exe"、"ExLauncher.exe"、 "TERA.exe"、"OTP.exe"、"AION.bin"
"wow.exe"、"fairyclient.exe"、"dkonline.exe"、"Diablo III.exe"、"AYAgent.aye"。
(2)如果是進程"explorer.exe"則讀取網絡文件"http://z71.88****fadafd.com/css/mz699.txt"
中網址"http://mexe.6**ww.com/css/m76.exe",下載為本地文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3K6Rk6GD.pif(文件名隨機)"并已隱藏的方式執行,并創建文件"C:\WINDOWS\system32\winxp.ini"并寫入記錄信息。
(3)如果是"AYUpdSrv.aye"、"AYServiceNT.aye"、"AYRTSrv.aye"、
"SystemMon.exe"、"SkyMon.exe"、"nsvmon.npc"、"nvc.npc"、"nvcagent.npc"、"Nsavsvc.npc"、 "V3LTray.exe"、"V3LSvc.exe"、"V3Light.exe"、"SgSvc.exe"、"sgrun.exe"、 "InjectWinSockServiceV3.exe"、"alyac" 則退出當前進程。
病毒創建文件:
"C:\WINDOWSxMOZ3GH.sys(字符串xMOZ3GH隨機)"
"%SystemRoot%\system32\WinSocketA.dll"
"%Temp%\3K6Rk6GD.pif(文件名隨機)"
"%SystemRoot%\system32\winxp.ini"
病毒刪除文件:
"C:\WINDOWSxMOZ3GH.sys"
病毒文件自身
病毒修改注冊表
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs"
病毒訪問網絡
"http://z71.889****adafd.com/css/mz699.txt"
"http://mexe.6**ww.com/css/m76.exe"
"http://z71.8u8**cww.com/mox2/post.asp"
"http://m71.88****afadafd.com/df/post.asp"
"http://z71.8u8**cww.com/mxdotp/post.asp"
"http://m71.889****fadafd.com/mxd/post.asp"
"http://m71.889****fadafd.com/ty/post.asp"
"http://m71.889****fadafd.com/fifa/post.asp"
"http://m71.889****fadafd.com/pm/post.asp"
"http://m71.889****fadafd.com/nm/post.asp"
"http://m71.889****fadafd.com/hg/post.asp"
"http://m71.889****fadafd.com/lq/post.asp"
"http://m71.889****fadafd.com/tera/post.asp"
"http://m71.889****fadafd.com/pm2/post.asp"
"http://z71.8u8**cww.com/666woyh/post.asp"
"http://z71.8u8**cww.com/666wowow/post.asp"
"http://m71.889****fadafd.com/dk/post.asp"
"http://z71.8u8**cww.com/666lq/post.asp"
"http://z71.8u8**cww.com/mox4/post.asp"
"http://m71.889****fadafd.com/diablo/post.asp"
