仙剑盗号木马

Trojan-PSW.Win32.OnLineGames.cqux

捕获时间

2010-12-18

危害等级

中

病毒症状

  该样本是使用“VC”编写的盗号木马程序，由微点主动防御软件自动捕获，长度为“19,968”字节，图标为“”，使用“exe”扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是盗取用户网游帐号和密码。
用户中毒后会出现系统运行缓慢，杀毒软件失效，网游账号密码信息丢失等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

手动解决办法：

（1）手动删除以下注册表项：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
键值：MF01
指向数据：C:\WINDOWS\system32\wow0524.exe

（2）在系统安全模式下，手动删除以下文件：
%SystemRoot%\system32\test.sys
%SystemRoot%\system32\wow0524.dll
%SystemRoot%\system32\wow0524.exe

变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”
病毒分析：

（1）该样本执行后，从自身提取资源释放驱动到%SystemRoot%\system32\test.sys，将%SystemRoot%\system32\drivers\beep.sys改名为beep.bin，将%SystemRoot%\system32\test.sys替换为%SystemRoot%\drivers\beep.sys

（2）beep.sys，修改系统服务描述表的表项，致使杀软失效或躲避杀软查杀

（3）释放动态链接库wow0524.dll到%SystemRoot%\system32目录下，并将自身复制到相同目录下更名为wow0524.exe，修改以下注册表项实现wow0524.exe开机启动：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
键值：MF01
指向数据：C:\WINDOWS\system32\wow0524.exe

（3） 创建系统快照、枚举进程找到explorer.exe进程，注入wow0524.dll到此进程中，然后在样本目录下建立批处理达到删除自己。

（4） wow0524.dll注入到explorer.exe后，判断其注入进程是否为pol.exe，如果不是则创建全局钩子，将wow0524.dll注入到所有进程，若发现其注入进程是pol.exe，则通过读取内存的方式来获取“账号”，“密码” ,通过“收信空间”的方式将木马所盗取信息发送至黑客指定的地址。

病毒创建文件：

%SystemRoot%\system32\test.sys
%SystemRoot%\system32\wow0524.dll
%SystemRoot%\system32\wow0524.exe  

病毒创建注册表：
　　
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
名称：MF01
数据：C:\WINDOWS\system32\wow0524.exe
  
病毒访问网络:

http://www.alpha****hk.com/bak/***1/lin.asp

仙剑盗号木马

Trojan-PSW.Win32.OnLineGames.cqux

捕获时间

2010-12-18

危害等级

中

病毒症状

  该样本是使用“VC”编写的盗号木马程序，由微点主动防御软件自动捕获，长度为“19,968”字节，图标为“”，使用“exe”扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是盗取用户网游帐号和密码。
用户中毒后会出现系统运行缓慢，杀毒软件失效，网游账号密码信息丢失等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

手动解决办法：

（1）手动删除以下注册表项：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
键值：MF01
指向数据：C:\WINDOWS\system32\wow0524.exe

（2）在系统安全模式下，手动删除以下文件：
%SystemRoot%\system32\test.sys
%SystemRoot%\system32\wow0524.dll
%SystemRoot%\system32\wow0524.exe

变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”
病毒分析：

（1）该样本执行后，从自身提取资源释放驱动到%SystemRoot%\system32\test.sys，将%SystemRoot%\system32\drivers\beep.sys改名为beep.bin，将%SystemRoot%\system32\test.sys替换为%SystemRoot%\drivers\beep.sys

（2）beep.sys，修改系统服务描述表的表项，致使杀软失效或躲避杀软查杀

（3）释放动态链接库wow0524.dll到%SystemRoot%\system32目录下，并将自身复制到相同目录下更名为wow0524.exe，修改以下注册表项实现wow0524.exe开机启动：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
键值：MF01
指向数据：C:\WINDOWS\system32\wow0524.exe

（3） 创建系统快照、枚举进程找到explorer.exe进程，注入wow0524.dll到此进程中，然后在样本目录下建立批处理达到删除自己。

（4） wow0524.dll注入到explorer.exe后，判断其注入进程是否为pol.exe，如果不是则创建全局钩子，将wow0524.dll注入到所有进程，若发现其注入进程是pol.exe，则通过读取内存的方式来获取“账号”，“密码” ,通过“收信空间”的方式将木马所盗取信息发送至黑客指定的地址。

病毒创建文件：

%SystemRoot%\system32\test.sys
%SystemRoot%\system32\wow0524.dll
%SystemRoot%\system32\wow0524.exe  

病毒创建注册表：
　　
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
名称：MF01
数据：C:\WINDOWS\system32\wow0524.exe
  
病毒访问网络:

http://www.alpha****hk.com/bak/***1/lin.asp