这是一个C语言编写的病毒,病毒主要功能为窃取游戏《传奇》的用户登陆信息;病毒在被感染的系统上以隐蔽的方式运行,用户无法通过正常的方法禁止其运行并清除该病毒文件。该病毒通过主文件释放动态库和配置文件,通过驻入动态库实现窃取用户游戏登陆信息。
病毒主文件的分析如下:
1.初始化:调用LoadLibraryA加载kernel32.dll,user32.dll,获取ExitProcess的函数地址。
2.病毒运行后会创建副本以及释放动态库文件到本地系统的指定目录。
%WINNT%\Fonts\gjcuaxw.fon
%System%\gjcscyc.dll
%System%\gjcsczc.exe
%WINNT%\Fonts\gjcscss.dll
(1)gjcsczc.exe为病毒文件存放到系统中的文件副本。病毒会查找%System%目录下是否存在文件名为gjcsczc.exe的文件,如果有会将其属性设置为Normal后删除该文件,然后将病毒文件以此名称复制到该目录下。
(2)gjcscyc.dll为病毒释放的动态库文件,病毒放出该动态库后会将该文件属性设置为SYSTEM、HIDDEN。
(3)gjcuaxw.fon和gjcscss.dll为配置文件,用于存放病毒通信地址,病毒通过调用WritePrivateProfileString分别向生成文件gjcuaxw.fon和gjcscss.dll中写入如下内容:
[Send]
Url1=12E4F8F8FCB6A3A3FBFBFBA2FBEFBEBCBCB5A2EFE2A3EAE0F5BEBCBDBCA3FBFFE1A2EDFFFC
[Send]
Url1=http://www.xxxxxx.cn/fly2010/wsm.asp;
3.修改注册表项,实现病毒文件动态库的开机加载。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks"{3FA10261-B890-F432-A453-69F1023513F3}" = GJCSCYC.DLL
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3FA10261-B890-F432-A453-69F1023513F3}
4.病毒会将%System%\gjcsczc.exe文件运行起来,然后以原病毒文件名为参数在C盘根目录下构造文件名为DFD开头的脚本文件,然后运行该脚本实现病毒原文件的自删除,以及该脚本文件的自删除功能。
5.病毒会比较系统中是否存在woool.dat的游戏进程,如果存在则结束其进程。使得用户需要重新登陆游戏,方便实现病毒动态库文件的驻入。
6.病毒会将释放出的动态库sidjhzy.dll加载起来,然后起线程调用动态库中的EnHookWindow函数实现挂消息钩子,在接收消息钩子的进程中加载病毒动态库的功能。
病毒动态库的分析如下:
病毒加载并起线程调用动态库中的EnHookWindow函数实现挂消息钩子,在接收消息钩子的进程中加载该病毒动态库实现其窃取用户登录信息的主要功能。sidjhzy.dll的具体功能如下:
1.病毒会通过挂键盘和鼠标的钩子将动态库文件驻入到接收键盘和鼠标消息的进程中。
2.病毒会结束TQAT.exe(反外挂软件)进程。
3.病毒会起专门的线程,通过修改游戏代码,直接在内存中读取指定数据,获取用户的游戏登陆信息,通过HTTP方式发送到木马散播者的指定的URL。
4.病毒会添加或修改如下注册项,破坏系统的安全设置(禁用Windows自动更新、禁用防火墙的功能):
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\Standard Profile Enable Firewall = 0
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.23.21版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。