鹿鼎記游戲盜號木馬
Trojan-PSW.Win32.Frethoq.qt
捕獲時間
2012-09-01
危害等級
中
病毒癥狀
該樣本是使用“MFC”編寫的“鹿鼎記游戲盜號木馬”���,由微點主動防御軟件自動捕獲, 采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“33,792”字節,圖標為“
”��,使用“exe”擴展名,通過文件捆綁�、網頁掛馬��、下載器下載等方式進行傳播。病毒主要目的是盜取用戶的密碼和帳號。當用戶計算機感染此木馬病毒后, 會出現“鹿鼎記” 游戲無故關閉、輸入用戶名、密碼、密保時游戲運行緩慢的現象���,最終將導致虛擬財產被黑客盜取,并且發現未知進程等現象.
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬�����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶����,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本����,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您“發現病毒”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�����,微點將報警提示您發現木馬"Trojan-PSW.Win32.Frethoq.qt”�,請直接選擇刪除(如圖2)
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.用"%SystemRoot%\system32\yuksuser.dll"
"%SystemRoot%\system32\yumidimap.dll"
"%SystemRoot%\system32\yumsimg32.dll"
分別替換以下文件:
"%SystemRoot%\system32\ksuser.dll"
"%SystemRoot%\system32\midimap.dll"
"%SystemRoot%\system32\msimg32.dll"
"%SystemRoot%\system32\dllcache\ksuser.dll"
"%SystemRoot%\system32\dllcache\midimap.dll"
"%SystemRoot%\system32\dllcache\msimg32.dll"
2.將文件:
"游戲目錄\ksuser.dll"
"游戲目錄\midimap.dll"
"游戲目錄\msimg32.dll"
替換為正常文件
3.刪除文件
"%Temp%\1343976845.dat(文件名隨機生成)"
"%SystemRoot%\system32\sysapp37.dll"
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄���,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄���,通常為:“C:\ProgramFiles”
病毒分析:
1.創建進程快照,查找并嘗試結束“LDJGame.exe”(鹿鼎記游戲)進程�����,枚舉桌面窗口�,查找并結束游戲窗口。
2.獲取臨時文件夾路徑��,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1343976845.dat(文件名隨機)"并寫入惡意數據�。
3.打開注冊表“HKEY_CURRENT_USER\Software\Microsoft\Windows\ ShellNoRoam\MUICache”,遍歷該注冊表項下所有鍵��,查找鹿鼎記游戲的安裝目錄���。
4.分別復制文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1343976845.dat(文件名隨機)"到游戲安裝目錄下“ksuser.dll”�、“midimap.dll”、“msimg32.dll”�。
5.運行命令行“net stop cryptsvc”���、“sc config cryptsvc start= disabled”���、“sc delete cryptsvc”關閉并刪除微軟數字簽名驗證服務�。
6.復制文件"C:\WINDOWS\system32\ksuser.dll"為"C:\WINDOWS\system32\yuksuser.dll"�,復制文件"C:\WINDOWS\system32\dllcache\ksuser.dll"為"C:\WINDOWS\system32\dllcache\yuksuser.dll",刪除文件"C:\WINDOWS\system32\ksuser.dll"�,復制文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1343976845.dat(文件名隨機)"為"C:\WINDOWS\system32\ksuser.dll"�,刪除文件"C:\WINDOWS\system32\dllcache\ksuser.dll"����,復制文件"C:\WINDOWS\system32\ksuser.dll"為"C:\WINDOWS\system32\dllcache\ksuser.dll"。
7.按步驟6分別對“midimap.dll”�、“msimg32.dll”文件進行操作�����,復制文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1343976845.dat(文件名隨機)"為"C:\WINDOWS\system32\sysapp37.dll"����。
8.創建進程快照,遍歷進程查找“360tray.exe”����、“RSTray.exe”進程���,如果找到相關進程�,則獲取磁盤信息�,遍歷磁盤查找“LDJGame.exe”,執行步驟4���,如果沒有找到相關進程,則跳過遍歷磁盤的步驟。
9.創建線程����,以參數" C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1343976845.dat, ServerMain c:\123.exe"運行"C:\WINDOWS\system32\rundll32.exe"�����,刪除樣本文件�����。
10.樣本生成的dll文件被加載后,首先判斷自身是否為"ksuser.dll"�����、"midimap.dll"��,如果是則加載相應文件"yuksuser.dll"、"yumidimap.dll"��,保證系統正常運行����,并將自身設置為系統隱藏屬性。
11.判斷加載自身文件的進程是否為"360Safe.exe"�����、"360Tray.exe"�����、"360sd.exe"等�����,如果是則退出進程。
12.如果是“LDJGame.exe”,則截取游戲窗口信息�,創建消息鉤子�,盜取用戶賬號密碼發送到指定地址��。
13.如果不是上述進程���,創建互斥體“sysapp1992”���,循環加載“sysapp37.dll(數字部分為1到44)”����。
病毒創建文件:
"%Temp%\1343976845.dat(文件名隨機生成)"
"游戲目錄\ksuser.dll"
"游戲目錄\midimap.dll"
"游戲目錄\msimg32.dll"
"%SystemRoot%\system32\ksuser.dll"
"%SystemRoot%\system32\midimap.dll"
"%SystemRoot%\system32\msimg32.dll"
"%SystemRoot%\system32\dllcache\ksuser.dll"
"%SystemRoot%\system32\dllcache\midimap.dll"
"%SystemRoot%\system32\dllcache\msimg32.dll"
"%SystemRoot%\system32\sysapp37.dll"
"%SystemRoot%\system32\yuksuser.dll"
"%SystemRoot%\system32\yumidimap.dll"
"%SystemRoot%\system32\yumsimg32.dll"
"%SystemRoot%\system32\ dllcache\yuksuser.dll"
"%SystemRoot%\system32\ dllcache\yumidimap.dll"
"%SystemRoot%\system32\ dllcache\yumsimg32.dll"
病毒刪除文件:
"%SystemRoot%\system32\ksuser.dll"
"%SystemRoot%\system32\midimap.dll"
"%SystemRoot%\system32\msimg32.dll"
"%SystemRoot%\system32\dllcache\ksuser.dll"
"%SystemRoot%\system32\dllcache\midimap.dll"
"%SystemRoot%\system32\dllcache\msimg32.dll"
"游戲目錄\ksuser.dll"
"游戲目錄\midimap.dll"
"游戲目錄\msimg32.dll"
病毒文件自身
