Trojan.PSW.Win32.LMir.yzm是一個C語言編寫的病毒,病毒主要功能為竊取遊戲《傳奇》的用戶登入信息;病毒在被感染的系統上以隱蔽的方式運行,用戶無法通過正常的方法禁止其運行並清除該病毒檔案。該病毒通過主檔案釋放動態庫和配置檔案,通過駐入動態庫實現竊取用戶遊戲登入信息。
基本介紹
- 外文名:Trojan.PSW.Win32.LMir.yzm
- 危險等級:★★★
- 截獲時間:2007-12-19
- 入庫版本:20.23.21
病毒信息,病毒行為,安全建議,
病毒信息
危險等級:★★★
病毒名稱:Trojan.PSW.Win32.LMir.yzm
截獲時間:2007-12-19
入庫版本:20.23.21
類型:病毒
感染的作業系統:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威脅情況:
傳播級別:中
全球化傳播態勢:低
清除難度:困難
破壞力:低
病毒行為
破壞手段:竊取網路遊戲《傳奇》用戶登入信息
病毒主檔案的分析如下:
1.初始化:調用LoadLibraryA載入kernel32.dll,user32.dll,獲取ExitProcess的函式地址。
2.病毒運行後會創建副本以及釋放動態庫檔案到本地系統的指定目錄。
%WINNT%\Fonts\gjcuaxw.fon
%System%\gjcscyc.dll
%System%\gjcsczc.exe
%WINNT%\Fonts\gjcscss.dll
(1)gjcsczc.exe為病毒檔案存放到系統中的檔案副本。病毒會查找%System%目錄下是否存在檔案名稱為gjcsczc.exe的檔案,如果有會將其屬性設定為Normal後刪除該檔案,然後將病毒檔案以此名稱複製到該目錄下。
(2)gjcscyc.dll為病毒釋放的動態庫檔案,病毒放出該動態庫後會將該檔案屬性設定為SYSTEM、HIDDEN。
(3)gjcuaxw.fon和gjcscss.dll為配置檔案,用於存放病毒通信地址,病毒通過調用WritePrivateProfileString分別向生成檔案gjcuaxw.fon和gjcscss.dll中寫入如下內容:
[Send]
Url1=12E4F8F8FCB6A3A3FBFBFBA2FBEFBEBCBCB5A2EFE2A3EAE0F5BEBCBDBCA3FBFFE1A2EDFFFC
[Send]
Url1=http://www.xxxxxx.cn/fly2010/wsm.asp;
3.修改註冊表項,實現病毒檔案動態庫的開機載入。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks"{3FA10261-B890-F432-A453-69F1023513F3}" = GJCSCYC.DLL
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3FA10261-B890-F432-A453-69F1023513F3}
4.病毒會將%System%\gjcsczc.exe檔案運行起來,然後以原病毒檔案名稱為參數在C糟根目錄下構造檔案名稱為DFD開頭的腳本檔案,然後運行該腳本實現病毒原檔案的自刪除,以及該腳本檔案的自刪除功能。
5.病毒會比較系統中是否存在woool.dat的遊戲進程,如果存在則結束其進程。使得用戶需要重新登入遊戲,方便實現病毒動態庫檔案的駐入。
6.病毒會將釋放出的動態庫sidjhzy.dll載入起來,然後起執行緒調用動態庫中的EnHookWindow函式實現掛訊息鉤子,在接收訊息鉤子的進程中載入病毒動態庫的功能。
病毒動態庫的分析如下:
病毒載入並起執行緒調用動態庫中的EnHookWindow函式實現掛訊息鉤子,在接收訊息鉤子的進程中載入該病毒動態庫實現其竊取用戶登錄信息的主要功能。sidjhzy.dll的具體功能如下:
1.病毒會通過掛鍵盤和滑鼠的鉤子將動態庫檔案駐入到接收鍵盤和滑鼠訊息的進程中。
2.病毒會結束TQAT.exe(反外掛軟體)進程。
3.病毒會起專門的執行緒,通過修改遊戲代碼,直接在記憶體中讀取指定數據,獲取用戶的遊戲登入信息,通過HTTP方式傳送到木馬散播者的指定的URL。
4.病毒會添加或修改如下註冊項,破壞系統的安全設定(禁用Windows自動更新、禁用防火牆的功能):
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\Standard Profile Enable Firewall = 0
安全建議
3 不瀏覽不良網站,不隨意下載安裝可疑外掛程式。
4 不接收QQ、MSN、Emial等傳來的可疑檔案。
5 上網時打開防毒軟體實時監控功能。
6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中,可以有效保護密碼安全。
清除辦法:
瑞星防毒軟體清除辦法:
安裝瑞星防毒軟體,升級到20.23.21版以上,對電腦進行全盤掃描,按照軟體提示進行操作,即可徹底查殺。
