Trojan-PSW.Win32.OL-Game.cvp
捕获时间
2008-04-10
病毒症状
该病毒是使用Delphi编写的盗号程序,由微点主动防御软件自动捕获,采用Upack加壳方式试图躲避特征码扫描,加壳后长度为30,699字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
病毒分析
该木马程序被激活后,在目录%programfiles%下释放文件iwtel.exe;修改%systemroot%\system32\drivers\etc目录下hosts文件;通过API函数WinExec运行病毒程序iwtel.exe;以批处理的形式将自身删除。
| Quote: | |
|
iwtel.exe运行后,检测系统中是否存在avp.exe进程,如果存在则通过相关API函数将%systemroot%\system32\drivers\beep.sys替换,并修改文件属性为隐藏、系统;否则在%temp%目录下释放驱动tmp*.tmp,修改文件的属性为隐藏、系统;调用SCM写注册表项将tmp*.tmp注册成名为mhfp的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件tmp*.tmp删除;
| Quote: | |
|
在目录%temp%下释放动态库tmp*.tmp,修改文件属性为隐藏、系统;通过API函数LoadLibraryA将tmp*.tmp加载运行;遍历进程查找360safe.exe、360tray.exe、kppmain.exe、kwatch.exe并将其关闭;动态库运行后拷贝自身到%systemroot%\system32目录下,重命名为msosmhfp**.dll;修改如下注册表键值使进程都自动加载动态库msosmhfp**.dll;通过相关API函数获取动态库所在模块名称,与梦幻西游my.exe进行比较,如果是则通过读取其内存获取网络游戏账号和密码以及其它私人信息,以收信空间的形式发送给木马种植者;
| Quote: | |
|
在目录%systemroot%\system32\drivers目录下释放驱动msosfpids32.sys,修改文件属性为隐藏、系统;调用SCM写注册表项将msosfpids32.sys注册成名为fpids32的服务,通过相关函数启动被注册的服务加载驱动;以命令行的方式将病毒程序iwtel.exe删除。
| Quote: | |
|
