日期:2008-03-28
病毒名称:Trojan-PSW.Win32.OLGame.vdh
危害指数:3
传播途径:网页木马/文件捆绑
传播平台:Windows 2000/Windows XP/Windows 2003
该病毒是使用VC编写的盗号程序,采用UPack加壳方式试图躲避特征码扫描,加壳后长度为19,936字节,图标为Windows默认可执行文件图标, 病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。该木马程序运行后,检测系统中是否存在avp.exe进程,如果有则通过相关API函数 将%systemroot%\system32\drivers\beep.sys替换,并修改文件属性为隐藏、系统;否则在%temp%目录下释放驱动 tmp*.tmp,修改文件的属性为隐藏、系统;调用SCM写注册表项将tmp*.tmp注册成名为mhfp的服务,通过相关函数启动被注册的服务加载驱 动,加载成功后使用API函数DeleteFileA将驱动文件tmp*.tmp删除;
| Quote: | |
|
在目录%temp%下释放动态库tmp*.tmp,修改文件属性为隐藏、系统;通过API函数LoadLibraryA将tmp*.tmp加载运行;遍历 进程查找360safe.exe、360tray.exe、kppmain.exe、kwatch.exe将其关闭;动态库运行后拷贝自身 到%systemroot%\system32目录下,重命名为msosmhfp**.dll;修改如下注册表键值使explorer.exe以及由 explorer.exe启动进程都自动加载动态库msosmhfp**.dll;通过相关API函数获取动态库所在模块名称,与梦幻西游my.exe与 破天一剑china_login.mpr进行比较,如果是则通过读取其内存获取网络游戏账号和密码以及其它私人信息,以收信空间的形式发送给黑客;
| Quote: | |
|
在目录%systemroot%\system32\drivers目录下释放驱动msosfpids32.sys,修改文件属性为隐藏、系统;调用 SCM写注册表项将msosfpids32.sys注册成名为fpids32的服务,通过相关函数启动被注册的服务加载驱动;以命令行的方式将病毒原文件 删除。
| Quote: | |
|
驱动beep.sys、tmp*.tmp、msosfpids32.sys的作用是:钩取系统服务MDL,当由内存描述符表分配进程空间时,将msosmhfp**.dll写入到每个新创建的进程空间中。
墨者安全专家建议:
1.请开启墨者安全专家的“革离术”进行实时防护,并使用系统安全漏洞中心,检查系统漏洞,发现漏洞请点击“修复”完成漏洞修补。
2.保持使用墨者安全豪华版套装中的正版趋势反病毒专家,进行对系统病毒经常扫描的习惯,发现病毒或者隐患及时清除。
3.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启,保持自动更新为最新病毒库,以便对最新病毒及木马的及时发现及清除。