QQ三國(guó)盜號(hào)木馬
Trojan-PSW.Win32.Frethoq.a
捕獲時(shí)間
2010-9-20
危害等級(jí)
中
病毒癥狀
該樣本是使用“VC ”編寫(xiě)的“盜號(hào)木馬”���,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲, 采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長(zhǎng)度為“13,092”字節(jié)���,圖標(biāo)為“ ”,使用“exe”擴(kuò)展名�,通過(guò)文件捆綁�����、網(wǎng)頁(yè)掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是盜取用戶的密碼和帳號(hào)。當(dāng)用戶計(jì)算機(jī)感染此木馬病毒后, 會(huì)出現(xiàn)“QQ三國(guó)” 游戲無(wú)故關(guān)閉�����、輸入用戶名��、密碼�����、密保時(shí)游戲運(yùn)行緩慢的現(xiàn)象���,最終將導(dǎo)致虛擬財(cái)產(chǎn)被黑客盜取�,并且發(fā)現(xiàn)未知進(jìn)程等現(xiàn)象.
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁(yè)掛馬�、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶���,無(wú)須任何設(shè)置�,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞���。無(wú)論您是否已經(jīng)升級(jí)到最新版本����,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版�,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“間諜軟件”�����,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-PSW.Win32.Frethoq.a”����,請(qǐng)直接選擇刪除(如圖2)��。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
手動(dòng)刪除文件
1.刪除 游戲安裝目錄\ksuser.dll
2.刪除 %SystemRoot%\system32\ksuser.dll
3.刪除 %SystemRoot%\system32\aksuser.dll
4. 刪除 %SystemRoot%\system32\dllcache\ksuser.dll
3.刪除 %SystemRoot%\system32\Tmp9.tmp
4. 刪除 %SystemRoot%\system32\TmpA.tmp
用正常的ksuser.dll替換被感染的文件
%SystemRoot%\system32\ ksuser.dll
%SystemRoot%\system32\DllCache\ ksuser.dll
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄�,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾���,通常為“C:\Documents and Settings\當(dāng)前用戶名稱(chēng)\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄���,通常為:“C:\ProgramFiles”
病毒分析:
1.獲得系統(tǒng)目錄路徑�,將"C:\WINDOWS\System32\ksuser.dll"文件拷貝并重新命名到系統(tǒng)目錄下"C:\WINDOWS\System32\aksuser.dll"
2.建立進(jìn)程快照,遍歷進(jìn)程名為“qqsg.exe”的進(jìn)程�����,找到以后結(jié)束該游戲進(jìn)程�。
3.打開(kāi)注冊(cè)表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths”���,
枚舉該注冊(cè)表下的游戲“qqsg.exe”安裝路徑信息�����,找到以后�����,在該游戲安裝目錄下,釋放ksuser.dll文件����,
4.之后病毒建立線程����,會(huì)在“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夾下釋放假冒的系統(tǒng)文件“ksuser.dll”文件屬性設(shè)置為系統(tǒng)隱藏屬性,以此實(shí)現(xiàn)自啟動(dòng)�����,以及釋放"C:\WINDOWS\System32\Tmp9.tmp"和"C:\WINDOWS\System32\Tmpa.tmp"����。另外,其還會(huì)在“%SystemRoot%\system32\”文件夾下釋放惡意程序“abc.dll”��。釋放完成后��,原病毒程序會(huì)將自身刪除���。
5. 病毒利用WinExec等函數(shù)執(zhí)行“net stop cryptsvc”服務(wù),取消并不讓此服務(wù)隨機(jī)啟動(dòng)"sc config cryptsvc start= disabled"�����,并且刪除該服務(wù)"sc delete cryptsvc"從而關(guān)閉系統(tǒng)認(rèn)證保護(hù)功能
6.遍歷進(jìn)程“Winlogon.exe”找到以后����,加載系統(tǒng)的“sfc-os.dll”,建立遠(yuǎn)程線程注入到系統(tǒng)的“Winlogon.exe”進(jìn)程中,等候黑客指令��。
7. 游戲運(yùn)行后會(huì)自動(dòng)加載被病毒感染的"C:\WINDOWS\System32\ksuser.dll"�,該文件會(huì)讓游戲程序加載Tmp9.tmp;
加載Tmp9.tmp文件后,創(chuàng)建消息鉤子獲取用戶帳號(hào)密碼等信息��,發(fā)送到黑客指定網(wǎng)址�����。
病毒創(chuàng)建文件:
游戲安裝目錄\ksuser.dll
%SystemRoot%\system32\ksuser.dll
%SystemRoot%\system32\aksuser.dll
%SystemRoot%\system32\dllcache\ksuser.dll
%SystemRoot%\system32\Tmp9.tmp
%SystemRoot%\system32\TmpA.tmp |
