日期:2008-04-07
病毒名称:Win32.PSWTroj.OnlineGames.qi.106617
病毒类型:偷密码的木马
危害指数:1
传播途径:网页木马/文件捆绑
传播平台:WIN9X/WINME/WINNT/Windows 2000/Windows XP/Windows 2003
这是一个QQ盗号木马。它会通过消息监视的方法盗取QQ号码,并不断地自我修复,防止被用户查杀。
1、释放文件
C:\Program Files\Internet Explorer\PLUGINS\NewSys55.Sys
C:\Program Files\Internet Explorer\PLUGINS\Nv_Win3s.Jmp 这个是EXE文件的副本,病毒可用此文件来恢复EXE文件
2、添加注册表启动项
HKEY_CLASSES_ROOT\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}\InProcServer32
"C:\Program Files\Internet Explorer\PLUGINS\NewSys55.Sys"
HKEY_CURRENT_USER\Software\Tencent\OtE9 "kk"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D29DCEE0-457B-45A2-A92D-741B95B7723B}\InProcServer32
"C:\Program Files\Internet Explorer\PLUGINS\NewSys55.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D29DCEE0-457B-45A2-A92D-741B95B7723B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks {D29DCEE0-457B-45A2-A92D-741B95B7723B}
3、木马功能
每个7分钟下载http://b**g.w**d.cn/images/banner.jpg到%temp%目录并运行。
通过消息钩子记录用户的键盘操作,盗取用户的QQ帐号密码。
将盗取的QQ帐号密码传到 http://www.b**k.com 和 http://www.p**j.cn
=====================================================================
病毒名称:Win32.Troj.GamesHackT.gu.94304
病毒类型:偷密码的木马
危害指数:2
传播途径:网页木马/文件捆绑
传播平台:WIN9X/WINME/WINNT/Windows 2000/Windows XP/Windows 2003
这是一个作案对象极广的网游盗号木马。它会根据电脑上安装游戏的不同,释放不同的DLL文件和配置文件来注入进程,盗取帐号和密码。
1. 病毒运行后会释放以下之一的DLL文件到SYSTEM32 目录:
mhtd.dll, qnefnaib.dll, ej.dll ,uixauh.dll, hjiq.dll, kiluw.dll, dsfg.dll, yqhs.dll
oaijihzeuyouhz.dll, jemnaw.dll, cuhad.dll, laixuhz.dll, rfhx.dll, mnauygniqaixnaij.dll
oqnauhc.dll,xjxr.dll,utiemnaw.dll,sve.dll,wininat.dll,gnolnait.dll,zadnew.dll
htwx.dll, knaixnauhuoyizqq.dll, duygnef.dll, gmx.dll, nadgnohiac.dll, agzg.dll
qlihzouhgnfe.dll,bchib.dll,tzm.dll,r2.dll,bauhgnem.dll,eohsom.dll,fyom.dll
sauhad.dll ,ijougiemnaw.dll ,taijoad.dll ,lnaixnauhqq.dll ,idtj.dll ,vhqq.dll ,atgnehz.dll
rsqq.dll,tsqc.dll,vauyiqvlnaix.dll,wQ.dll,fmxh.dll,cty.dll,pahzij.dll,jz.dll,bz.dll
pyomielnux.dll ,slcs.dll ,xptyj.dll ,umqj.dll ,xqjy.dll ,fifeei.dll, shqein.dll ,xy2.dll
wtiemnaw.dll ,uyomielnux.dll ,vlihzouhgnfe.dll ,2ty.dll ,nauhgnem.dll ,auhad.dll ,rj.dll
hz.dll,naijihzeuyouhz.dll,xhqq.dll,jmx.dll,dgzg.dll,gsqq.dll,fz.dll,gnaixnauhuoyizqq.dll
gnolnait.dll ,jsqc.dll ,dqncj.dll ,eve.dll ,2nauygniqaixnaij.dll ,niluw.dll ,ijougiemnaw.dll
xhtd.dll ,QQ.dll ,sfhx.dll ,gnaixnauhqq.dll ,3auhad.dll ,oadnew.dll ,iemnaw.dll ,qcsct.dll
oadgnohiac.dll ,iqnauhc.dll ,aixauh.dll ,ddtj.dll ,nuygnef.dll ,uohsom.dll ,gnefnaib.dll
ijiq.dll ,hjxr.dll ,naijoad.dll ,naixuhz.dll ,nahzij.dll ,fmxh.dll ,zqhs.dll ,jsfg.dll
utgnehz.dll ,uyom.dll ,wtwx.dll ,jghf.dll ,msd.dll ,asj.dll ,her.dll ,awf.dll.
2. 病毒释放一个和 DLL 文件同名的 .CFG 文件到SYSTEM32 目录,该文件保存着加密后的配置信息.
3. 病毒会修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 下的AppInit_Dlls 的值,以达到注入其它进程的目的.
4.病毒注入到其它进程后搜索要盗取游戏的进程,枚举窗口名, 一旦发现目标,病毒就会通过内存读写的方式窃取玩家的账号密保等信息,并将其发送到木马作者指定的多个远程服务器。
5. 该病毒根据释放到SYSTEM32 的DLL 文件来确定要盗取的游戏,木马会盗取 天龙八部,魔域,卓越之剑,征途,完美国际,QQ 自由幻想...等几十种游戏.
6. 创建批处理程序,将自己的源文件删除,避免被用户发现。
墨者安全专家建议:
1.建议已安装其他杀毒软件的用户,下载并安装墨者安全专家版,并开启“革离术”保护自己的杀毒软件,和其它计算机安全软件不会被此病毒所关掉,和破坏。以保障所使用的计算机安全防护软件能正常的运行和所有功能的正常使用。
2.点击墨者安全专家控制台——选择漏洞补丁——选择禁止优盘光驱自动运行。
3.请开启墨者安全专家的“革离术”进行实时防护,并使用系统安全漏洞中心,检查系统漏洞,发现漏洞请点击“修复”完成漏洞修补。
4.保持使用墨者安全豪华版套装中的正版趋势反病毒专家,进行对系统病毒经常扫描的习惯,发现病毒或者隐患及时清除。
5.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启,保持自动更新为最新病毒库,保证病毒及木马的及时发现及清除。