盗号木马Trojan-PSW.Win32.OLGame.vdh
来源:互联网 发布:数控编程难不难 编辑:程序博客网 时间:2024/06/05 17:50
病毒症状
该病毒是使用VC编写的盗号程序,由微点主动防御软件自动捕获,采用UPack加壳方式试图躲避特征码扫描,加壳后长度为19,936字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
病毒分析
该木马程序运行后,检测系统中是否存在avp.exe进程,如果有则通过相关API函数将%systemroot%/system32/drivers/beep.sys替换,并修改文件属性为隐藏、系统;否则在%temp%目录下释放驱动tmp*.tmp,修改文件的属性为隐藏、系统;调用SCM写注册表项将tmp*.tmp注册成名为mhfp的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件tmp*.tmp删除;
Quote: 项:HKLM/SYSTEM/CurrentControlSet/Services/mhfp/
键值:DisplayName
指向数据:mhfp
键值:ImagePath
指向文件:/??/%temp%/tmp*.tmp
键值:Start
指向数据:02
在目录%temp%下释放动态库tmp*.tmp,修改文件属性为隐藏、系统;通过API函数LoadLibraryA将tmp*.tmp加载运行;遍历进程查找360safe.exe、360tray.exe、kppmain.exe、kwatch.exe将其关闭;动态库运行后拷贝自身到%systemroot%/system32目录下,重命名为msosmhfp**.dll;修改如下注册表键值使explorer.exe以及由explorer.exe启动进程都自动加载动态库msosmhfp**.dll;通过相关API函数获取动态库所在模块名称,与梦幻西游my.exe与破天一剑china_login.mpr进行比较,如果是则通过读取其内存获取网络游戏账号和密码以及其它私人信息,以收信空间的形式发送给黑客;
Quote: 项:HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/
键值:AppInit_Dlls
指向数据:%systemroot%/system32/msosmhfp**.dll
在目录%systemroot%/system32/drivers目录下释放驱动msosfpids32.sys,修改文件属性为隐藏、系统;调用SCM写注册表项将msosfpids32.sys注册成名为fpids32的服务,通过相关函数启动被注册的服务加载驱动;以命令行的方式将病毒原文件删除。
Quote: 项:HKLM/SYSTEM/CurrentControlSet/Services/fpids32/
键值:DisplayName
指向数据:fpids32
键值:ImagePath
指向文件:/??/%systemroot%/system32/drivers/msosfpids32.sys
键值:Start
指向数据:02
驱动beep.sys、tmp*.tmp、msosfpids32.sys的作用是:钩取系统服务MDL,当由内存描述符表分配进程空间时,将msosmhfp**.dll写入到每个新创建的进程空间中。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”,请直接选择删除处理(如图1);
该病毒是使用VC编写的盗号程序,由微点主动防御软件自动捕获,采用UPack加壳方式试图躲避特征码扫描,加壳后长度为19,936字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
病毒分析
该木马程序运行后,检测系统中是否存在avp.exe进程,如果有则通过相关API函数将%systemroot%/system32/drivers/beep.sys替换,并修改文件属性为隐藏、系统;否则在%temp%目录下释放驱动tmp*.tmp,修改文件的属性为隐藏、系统;调用SCM写注册表项将tmp*.tmp注册成名为mhfp的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件tmp*.tmp删除;
键值:DisplayName
指向数据:mhfp
键值:ImagePath
指向文件:/??/%temp%/tmp*.tmp
键值:Start
指向数据:02
在目录%temp%下释放动态库tmp*.tmp,修改文件属性为隐藏、系统;通过API函数LoadLibraryA将tmp*.tmp加载运行;遍历进程查找360safe.exe、360tray.exe、kppmain.exe、kwatch.exe将其关闭;动态库运行后拷贝自身到%systemroot%/system32目录下,重命名为msosmhfp**.dll;修改如下注册表键值使explorer.exe以及由explorer.exe启动进程都自动加载动态库msosmhfp**.dll;通过相关API函数获取动态库所在模块名称,与梦幻西游my.exe与破天一剑china_login.mpr进行比较,如果是则通过读取其内存获取网络游戏账号和密码以及其它私人信息,以收信空间的形式发送给黑客;
键值:AppInit_Dlls
指向数据:%systemroot%/system32/msosmhfp**.dll
在目录%systemroot%/system32/drivers目录下释放驱动msosfpids32.sys,修改文件属性为隐藏、系统;调用SCM写注册表项将msosfpids32.sys注册成名为fpids32的服务,通过相关函数启动被注册的服务加载驱动;以命令行的方式将病毒原文件删除。
键值:DisplayName
指向数据:fpids32
键值:ImagePath
指向文件:/??/%systemroot%/system32/drivers/msosfpids32.sys
键值:Start
指向数据:02
驱动beep.sys、tmp*.tmp、msosfpids32.sys的作用是:钩取系统服务MDL,当由内存描述符表分配进程空间时,将msosmhfp**.dll写入到每个新创建的进程空间中。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”,请直接选择删除处理(如图1);
- 盗号木马Trojan-PSW.Win32.OLGame.vdh
- 盗号木马Trojan-PSW.Win32.OLGame.vdh
- 遭遇网游盗号木马Trojan-PSW.Win32.OnLineGames等
- 遭遇Trojan-PSW.Win32.WOW.ms、Trojan-PSW.Win32.Lmir.bgb等木马
- 某家园论坛被植入利用ANI漏洞传播QQ盗号木马Trojan-PSW.Win32.QQPass.rj的代码
- 装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗1
- 装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗2
- 再战Trojan.PSW.Lmir.kuo、Trojan.PSW.Misc.kcc等网游盗号木马(第2版)
- 一个被加入下载QQ盗号木马Trojan.PSW.QQPass.rie代码的网站
- 抓获Backdoor.Gpigeon.voo和Trojan.PSW.OnlineGames.xd等盗号木马
- 检查中ARP病毒的电脑,一堆网游盗号木马Trojan.PSW.RocOnline变种等
- 遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等
- 遭遇木马Trojan.PSW.ZhengTu.dm、Trojan.PSW.LMir.atb
- 某县政府网被加入下载木马Trojan-PSW.Win32.QQShou.ix的代码
- 某政府网站被挂木马txet.exe/Trojan-PSW.Win32.QQRob.iy
- 清除Trojan.PSW.WoWar.qq等木马
- Trojan.PSW.OnlineGames木马群浅析
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1
- 二分法
- Hadoop笔记--不需要分布式编程经验地分布式编程
- 网络信息探测技巧
- 都是virtual惹的祸
- QuickServer--在吵闹的环境里快速搭建自己的TcpServer(Pragmatic系列)
- 盗号木马Trojan-PSW.Win32.OLGame.vdh
- XFire 最新生火指南(上)
- [Bug 5725] New: Code for undocumented SwitchToThisWindow function does not reflect empirical evidence
- Chapter2:使用强类型数据集和TableAdapter
- ShellCode编写实例—突破防火墙的ShellCode
- XFire 最新生火指南(下)
- VMware中共享window文件(另类方法)
- Building Browser Helper Objects with Visual Studio 2005
- ActiveMQ4.1+Spring2.0的POJO JMS方案(上)