RISING 瑞星
首页 » 病毒频道 » 瑞星病毒技术分析报告 » 正文 rss
 资讯  病毒

“西游木马变种ACD”病毒技术细节

来源:瑞星公司 时间:2008-03-28 10:03:50

    盗取密码病毒,盗取大话西游2的帐号和密码。主程序和dll用C语言编写,upx加壳保护。主病毒体运行后执行如下操作:

    1、释放如下文件:
 %system32%\msosdohs00.dll
 %system32%\drivers\msosfpids32.sys
    2、添加如下注册表和系统文件信息以达到自启动:
 注册表:
  1     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = MSOSDOHS00.DLL
  2     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpids32(Display
Name)fpids32 = (IMAGEPATH)\??\%SYSTEM%\DRIVERS\MSOSFPIDS32.SYS

    3、遍历进程搜索avp.exe进程并关闭。

    4、将释放的dll注入explorer.exe进程。

    5、加载驱动(释放的msosfpids32.sys)。

病毒dll执行如下操作:

    1、其它线程不断搜索杀毒软件进程并破坏其运行。
 
    2、遍历进程搜索xy2.exe(大话西游2)进程,然后将自己注入其进程, 通过搜索内存的方式盗取游戏帐号和密码。
 
    3、与病毒的驱动进行通信(将自己的文件名发给驱动),通过驱动保护自己。
 
    4、注入ie进程,通过http协议发送盗取到的密码信息,穿透防火墙。

病毒的sys执行如下操作:
 
    通过在ssdt上下钩子的方法钩取ZwQueryDirectoryFile函数,以此保护病毒自己的文件。

安全建议:
    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

    3 不浏览不良网站,不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

    瑞星杀毒软件清除办法:

    安装瑞星杀毒软件,升级到20.35.10版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。


推荐阅读