一个盗号木马程序,在后台秘密监视用户打开的程序窗口标题,盗取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等
信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常
大的损失。
病毒名:瑞星:Trojan.Win32.Undef.jip
毒霸:Win32.Troj.Agent.ks.98304
江民:Trojan/PSW.OnLineGames.urs
micropoint:Trojan.Win32.Agent.tm(我的天啊,还被屏蔽的在,一年多了~~~)
进程相关:
病毒运行后,生成zwurro.exe,该进程包含如下模块:
C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\USER32.DLL
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\ADVAPI32.DLL
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\system32\MSVCRT.DLL
C:\WINDOWS\system32\URLMON.DLL
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\system32\iertutil.dll
C:\WINDOWS\system32\WININET.DLL
C:\WINDOWS\system32\Normaliz.dll
C:\WINDOWS\system32\SHELL32.dll
C:\WINDOWS\system32\comctl32.dll
该进程试图入侵安全软件进程,并结束指定进程,该次实验中,病毒试图结束以下进程:
RavMonD.exe
Ccenter.exe
RavMon.exe
kissvc.exe
Ratary.exe
该病毒运行后有典型的下载器特征,按照自身生成的下载列表(ini文件)下载其他病毒
下载列表如下:
1=http://soft.******.com/adco1.exe
2=http://soft.******.com/adco2.exe
3=http://soft.******.com/adco3.exe
4=http://soft.******.com/adco4.exe
5=http://soft.******.com/adco5.exe
6=http://soft.******.com/adco6.exe
7=http://soft.******.com/adco7.exe
8=http://soft.******.com/adco8.exe
9=http://soft.******.com/adco9.exe
10=http://soft.******.com/adco10.exe
11=http://soft.******.com/adco11.exe
12=http://soft.******.com/adco12.exe
13=http://soft.******.com/adco13.exe
14=http://soft.******.com/adco14.exe
15=http://soft.******.com/adco15.exe
16=http://soft.******.com/adco16.exe
17=http://user.******.com/adco17.exe
18=http://user.******.com/adco18.exe
19=http://user.******.com/adco19.exe
20=http://user.******.com/adco20.exe
21=http://user.******.com/adco21.exe
22=http://user.******.com/adco22.exe
23=http://user.******.com/adco23.exe
24=http://user.******.com/adco24.exe
25=http://user.******.com/adco25.exe
26=http://user.******.com/adco26.exe
27=http://user.******.com/adco27.exe
28=http://user.******.com/adco28.exe
29=http://user.******.com/adco29.exe
30=http://user.******.com/adco30.exe
31=http://user.******.com/adco31.exe
32=http://user.******.com/adco32.exe
后经瑞星杀毒软件扫描,确认下载的执行文件均为TrojanPSW..GameOL.**
病毒循环检测如下进程存在,并结束:
Icesword.exe
Autoruns.exe
procexp.exe
此次试验中,发现病毒监视当前用户的cookies文件夹和History文件夹,显然是窃取密码和其他隐私用的
文件相关:
病毒在C\WINDOWS\system32下生成
ArpInsert.exe
bzqaxbo.exe
dpvvoxmh.exe
mttwfh.dll
myusemt.dll
oprxyzp.exe
oprxyzp.exe.bat
pxzbapc.exe
rxybzqc.exe
rxybzqc.ini
tfo
tiplict.dll
tiplictk.exe
verclsid.exe
wklsdd.dll
xybapca.exe
xybapca.ini
xyopray.exe
xyqrab.ini
ybqpcxd.ini
zqcaxyo.exe
病毒在C\WINDOWS\system32\drives下生成
byqprxy.sys
caxyoqr.sys
pcaxyoq.sys
yzqabop.sys
病毒在\Local Settings\Temp下生成
ArpTast.bat
fsE5.tmp
病毒在IE缓存文件夹下生成如下病毒(Trojan.PSW.GameOL.**)并且按照下载列表的地址,下载其他木马
预防与查杀建议:
1、我们将冰刃改名为1.exe即可运行,在查看进程中我们强制结束掉zwurro.exe
2、我们使用冰刃强制删除如下的动态链接库
C:\WINDOWS\SYSTEM32\IERTUTIL.DLL
C:\WINDOWS\SYSTEM32\NORMALIZ.DLL
3、清空C:\Documents and Settings\panxiaoting\Local Settings\Temporary Internet Files\Content.IE5
目录下的所有子目录,以此解决在IE缓存区下的盗号木马。在C盘图标上点反建,选择【属性】对话框弹出后点击【磁盘清理】
注意下图的勾选状态,点击【确定】即可。
4、重启计算机,执行全盘扫描即可。
--------------------------------------------
网剑瑞星组成员panxiaoting
网剑博客:
http://hi.baidu.com/%CD%F8%BD%A3%B5%C4%BF%D5%BC%E4/欢迎访问
大概已经有1年没来社区了,向新老朋友们问好!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; CIBA)